Media CDN offre un support de premier ordre pour diffuser du trafic chiffré par TLS (HTTPS) depuis votre propre nom de domaine, mais aussi pour les requêtes signées. Le contenu Media CDN est diffusé à partir de votre propre domaine (domaine Bring-Your-Own ou BYO) et n'est pas nécessairement diffusé à partir d'un domaine hébergé par Google.
- La diffusion du trafic SSL (TLS) et l'obtention de certificats gérés par Google n'entraînent aucuns frais supplémentaires : la protection du trafic de l'utilisateur final ne doit pas être un luxe.
- Media CDN est compatible avec les certificats gérés par Google, ce qui permet à Google de gérer la rotation, les clés et la distribution sécurisée sur des milliers de nœuds périphériques, mais aussi avec les certificats autogérés (importés).
- Chaque service peut accepter jusqu'à cinq certificats SSL.
- Chaque certificat géré peut avoir jusqu'à 100 noms (noms d'objet alternatifs).
Nous vous recommandons de diffuser votre service de cache périphérique à partir de noms d'hôte dédiés (sous-domaines) et d'utiliser des certificats gérés distincts pour vos domaines multimédias dans le cadre des bonnes pratiques de sécurité.
Créer et émettre des certificats
Pour valider, émettre et associer un certificat SSL (TLS) géré à un service Media CDN, consultez la page Configurer des certificats SSL.
Types de certificat
Media CDN est compatible avec deux types de certificat :
- Les certificats gérés, que Google peut provisionner en votre nom pour les noms de domaine vous appartenant. Vous n'avez pas besoin de clés sécurisées, et les certificats sont automatiquement renouvelés.
- Les certificats autogérés, que vous importez directement dans le gestionnaire de certificats. Vous êtes tenu d'importer un certificat valide publiquement approuvé et de le remplacer avant son expiration.
Étant donné que les certificats gérés peuvent être autorisés et émis avant de diriger le trafic vers Media CDN, vous pouvez provisionner les certificats avant de basculer votre trafic de production afin d'éviter les temps d'arrêt.
Dans certains cas, par exemple lorsque vous avez besoin d'épingler des clés dans des applications mobiles ou de prendre en charge des anciens appareils avec des magasins de confiance obsolètes, vous devrez peut-être utiliser des certificats autogérés. Vous pouvez également utiliser des certificats gérés et autogérés sur le même service si vous avez des noms de domaine (hôtes) spécifiques qui nécessitent des certificats autogérés.
Autoriser l'émission de certificats
Si vous souhaitez que vos certificats gérés par Google soient prêts à être utilisés avant la configuration complète de votre environnement de production, par exemple avant de lancer une migration d'un autre fournisseur vers Google Cloud, vous pouvez les provisionner avec des autorisations DNS. Dans ce scénario, le gestionnaire de certificats utilise la validation basée sur DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS que vous devez configurer et couvre un seul domaine et son caractère générique, par exemple, myorg.example.com et *.myorg.example.com.
Lors de la création d'un certificat géré par Google, vous pouvez spécifier une ou plusieurs autorisations DNS à utiliser pour le provisionnement et le renouvellement de ce certificat. Si vous utilisez plusieurs certificats pour un même domaine, vous pouvez spécifier la même autorisation DNS dans chacun de ces certificats. Vos autorisations DNS doivent couvrir tous les domaines spécifiés dans le certificat. Sinon, la création et le renouvellement du certificat échouent.
Vous pouvez gérer les certificats de chaque projet séparément en utilisant l'autorisation DNS par projet (version preview). Cela signifie que le gestionnaire de certificats peut émettre et gérer les certificats pour chaque projet de manière indépendante dans Google Cloud. Les autorisations et certificats DNS que vous utilisez dans un projet sont autonomes et n'interagissent pas avec ceux d'autres projets.
Pour configurer une autorisation DNS, vous devez ajouter à votre configuration DNS un enregistrement CNAME pour un sous-domaine de validation imbriqué sous votre domaine cible.
Cet enregistrement CNAME pointe vers un domaine Google Cloud spécial que le gestionnaire de certificats utilise pour valider la propriété du domaine.
Le gestionnaire de certificats renvoie l'enregistrement CNAME lorsque vous créez une autorisation DNS pour le domaine cible.
L'enregistrement CNAME accorde également au gestionnaire de certificats les autorisations de provisionnement et de renouvellement des certificats pour ce domaine dans le projet Google Cloud cible. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.
Pour activer l'autorisation DNS par projet, sélectionnez l'PER_PROJECT_RECORD lors du processus de création de l'autorisation DNS. Lors de la sélection, vous recevez un enregistrement CNAME unique qui inclut à la fois le sous-domaine et la cible, et adapté au projet spécifique.
Ajoutez l'enregistrement CNAME à la zone DNS du domaine concerné.
Plusieurs domaines par certificat
Les certificats émis par le gestionnaire de certificats vous permettent de spécifier plusieurs noms de domaine (noms d'hôte) sur le même certificat que les noms alternatifs de l'objet.
Pour ajouter plusieurs domaines à un certificat, spécifiez une liste de domaines lors de la création d'un certificat, ainsi que toutes les autorisations requises.
Chaque autorisation ne couvre que le domaine exact (par exemple, video.example.com) et le caractère générique (*.example.com). L'autorisation ne couvre aucun sous-domaine explicite. Si vous souhaitez obtenir un certificat pour eu.video.example.com, par exemple, vous devez configurer une autre autorisation DNS pour le domaine eu.video.example.com.
Les exemples suivants montrent comment associer une autorisation pour video.example.com et eu.video.example.com :
gcloud
Exécutez la commande gcloud certificate-manager certificates :
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Cela crée un certificat avec l'autorisation DNS à l'état AUTHORIZING et le certificat à l'état PROVISIONING :
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Les domaines ne peuvent pas partager une autorisation DNS. Vous devez spécifier plusieurs domaines et autorisations. Le gestionnaire de certificats détermine les domaines qui requièrent les autorisations.
Pour en savoir plus sur l'émission et l'activation des certificats, consultez la page Configurer des certificats SSL (TLS).
Renouvellement de certificat
Les certificats gérés sont automatiquement renouvelés par le gestionnaire de certificats. Les certificats renouvelés sont automatiquement envoyés au réseau périphérique mondial de Google pour chaque service actif que vous avez configuré.
- Afin d'améliorer la sécurité et la conformité, les certificats
EDGE_CACHEont une période de validité courte (30 jours) par rapport à la norme actuelle du secteur de 90 jours (avec un intervalle de renouvellement de 60 jours). - Le renouvellement du certificat est généralement initié lorsque le certificat expire dans 10 jours.
- Aucune action n'est requise de votre part lorsqu'un certificat est renouvelé. Le nouveau certificat remplace automatiquement le certificat existant avant la date d'expiration, sans impact sur votre trafic.
Comme le pipeline d'émission revalide le contrôle du domaine avant le renouvellement, assurez-vous de ne pas supprimer les enregistrements DNS configurés pour l'autorisation DNS. La suppression de l'enregistrement utilisé pour l'authentification DCV (Domain Control Validation) entraîne l'impossibilité de renouveler vos certificats et empêche les clients de se connecter en HTTPS (TLS) une fois le certificat expiré.
Enregistrements CAA et autorités racine
Pour vérifier la compatibilité avec les appareils clients, y compris les Smart TV, smartphones et boîtiers de streaming plus anciens, vous trouverez l'ensemble des autorités de certification racine utilisées par Google sur le site pki.goog.
Pour autoriser le gestionnaire de certificats et Media CDN à émettre des certificats pour un domaine avec des enregistrements CAA existants, ajoutez l'enregistrement CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Les domaines qui ne possèdent pas d'enregistrements CAA existants n'ont pas besoin d'ajouter cet enregistrement, mais nous vous le recommandons de le faire dans le cadre des bonnes pratiques.
En savoir plus sur les enregistrements CAA
Limites des certificats
Vous pouvez émettre jusqu'à 1 000 certificats gérés et 1 000 autorisations DNS par projet. Pour connaître les autres limites et quotas associés, consultez la documentation Quotas et limites.
Versions TLS compatibles
Media CDN est compatible avec les versions TLS suivantes:
| Version TLS | Compatible | Algorithmes de chiffrement inclus |
|---|---|---|
| SSL 3.0 | Non | N/A (non compatible) |
| TLS 1.0 | Non | N/A (non compatible) |
| TLS 1.1 | Non | N/A (non compatible) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
De plus :
- Les appareils non compatibles avec les versions modernes de TLS (telles que TLS 1.3) négocient automatiquement une version TLS compatible.
- TLS 1.2 est la version TLS minimale compatible avec Media CDN.
- Media CDN n'est pas compatible avec l'association de règles SSL à un service.
Résoudre les problèmes d'émission de certificats
Si vous rencontrez des erreurs lors de l'émission de certificats, découvrez comment résoudre les problèmes liés à l'émission de certificats.
Étapes suivantes
- Consultez la section Configurer des certificats SSL.
- Assurez-vous de bien comprendre la connectivité client et la compatibilité des protocoles.
- Examinez la façon dont les connexions SSL (TLS) sont établies pour vos origines.