Media CDN memiliki dukungan terbaik untuk menyalurkan traffic yang dienkripsi TLS (HTTPS) dari nama domain Anda sendiri, serta dukungan untuk permintaan yang ditandatangani. Media CDN ditayangkan dari domain Anda sendiri (domain Bring-Your-Own atau BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.
- Tidak ada biaya tambahan yang terkait dengan penayangan traffic SSL (TLS) atau perolehan sertifikat yang dikelola Google: melindungi traffic pengguna akhir tidak boleh mahal.
- Media CDN mendukung sertifikat yang dikelola Google, sehingga Google dapat mengelola rotasi, kunci, dan distribusi yang aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
- Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
- Setiap sertifikat terkelola dapat memiliki maksimal 100 nama (Nama Alternatif Subjek).
Sebaiknya tayangkan layanan Edge Cache dari nama host (subdomain) khusus dan gunakan sertifikat terkelola terpisah untuk domain media Anda sebagai praktik keamanan yang baik.
Membuat dan menerbitkan sertifikat
Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke layanan Media CDN, lihat mengonfigurasi sertifikat SSL.
Jenis sertifikat
Media CDN mendukung dua jenis sertifikat:
- Sertifikat terkelola, yang dapat disediakan oleh Google atas nama Anda untuk nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat akan diperpanjang secara otomatis.
- Sertifikat yang dikelola sendiri, yang Anda upload ke Certificate Manager secara langsung. Anda bertanggung jawab untuk mengupload sertifikat yang valid dan tepercaya secara publik, serta mengganti sertifikat tersebut sebelum masa berlakunya habis.
Karena sertifikat terkelola dapat diotorisasi dan diterbitkan sebelum mengarahkan traffic di Media CDN, Anda dapat menyediakan sertifikat sebelum mengurangi traffic produksi dan menghindari periode nonaktif.
Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci di aplikasi seluler, atau dukungan untuk perangkat lama dengan trust store yang sudah tidak berlaku, Anda mungkin perlu menggunakan sertifikat yang dikelola sendiri. Anda juga dapat menggunakan sertifikat yang dikelola dan dikelola sendiri pada layanan yang sama jika memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.
Memberikan otorisasi pada penerbitan sertifikat
Jika ingin sertifikat yang dikelola Google siap digunakan sebelum lingkungan produksi Anda siap sepenuhnya, seperti sebelum memulai migrasi dari vendor lain ke Google Cloud, Anda dapat menyediakannya dengan otorisasi DNS. Dalam skenario ini, Pengelola Sertifikat menggunakan
validasi berbasis DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS yang perlu Anda siapkan dan mencakup satu domain beserta karakter penggantinya—misalnya, myorg.example.com
dan *.myorg.example.com
.
Saat membuat sertifikat yang dikelola Google, Anda dapat menentukan satu atau beberapa otorisasi DNS yang akan digunakan untuk penyediaan dan perpanjangan sertifikat tersebut. Jika menggunakan beberapa sertifikat untuk satu domain, Anda dapat menentukan otorisasi DNS yang sama di setiap sertifikat tersebut. Otorisasi DNS Anda harus mencakup semua domain yang ditentukan dalam sertifikat. Jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.
Anda dapat mengelola sertifikat untuk setiap project secara terpisah menggunakan otorisasi DNS per project (Pratinjau). Artinya, Certificate Manager dapat menerbitkan dan mengelola sertifikat untuk setiap project secara independen dalam Google Cloud. Otorisasi dan sertifikat DNS yang Anda gunakan dalam project bersifat mandiri dan tidak berinteraksi dengan yang ada di project lain.
Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME
untuk
sub-domain validasi yang disusun bertingkat dalam domain target ke konfigurasi DNS Anda.
Data CNAME
ini mengarah ke domain Google Cloud khusus yang digunakan Certificate Manager untuk memverifikasi kepemilikan domain.
Certificate Manager menampilkan data CNAME
saat Anda membuat
otorisasi DNS untuk domain target.
Data CNAME
juga memberikan izin penyediaan dan perpanjangan sertifikat kepada Certificate Manager untuk domain tersebut dalam project Google Cloud target. Untuk mencabut izin ini, hapus data CNAME
dari konfigurasi DNS Anda.
Untuk mengaktifkan otorisasi DNS per project, pilih PER_PROJECT_RECORD
selama
proses pembuatan otorisasi DNS. Setelah dipilih, Anda akan menerima data CNAME
unik yang mencakup subdomain dan target, serta yang disesuaikan dengan project tertentu.
Tambahkan data CNAME
ke zona DNS domain yang relevan.
Beberapa domain per sertifikat
Dengan sertifikat yang diterbitkan oleh Certificate Manager, Anda dapat menentukan beberapa nama domain (nama host) pada sertifikat yang sama dengan Nama Alternatif Subjek.
Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi yang cocok yang diperlukan.
Setiap otorisasi hanya mencakup domain yang sama persis (misalnya, video.example.com
) dan karakter pengganti (*.example.com
). Otorisasi tidak mencakup subdomain eksplisit. Jika menginginkan sertifikat untuk eu.video.example.com
, misalnya, Anda harus menyiapkan otorisasi DNS lain untuk domain eu.video.example.com
.
Contoh berikut menunjukkan cara melampirkan otorisasi untuk
video.example.com
dan eu.video.example.com
:
gcloud
Gunakan perintah gcloud certificate-manager certificates
:
gcloud certificate-manager certificates create video-example-com \ --domains="video.example.com,eu.video.example.com" \ --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \ --scope=EDGE_CACHE
Tindakan ini akan membuat sertifikat dengan otorisasi DNS di status AUTHORIZING
dan sertifikat dalam status PROVISIONING
:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Domain tidak dapat membagikan otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Certificate Manager menentukan domain mana yang memerlukan otorisasi tertentu.
Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi sertifikat SSL (TLS).
Perpanjangan sertifikat
Sertifikat terkelola akan diperpanjang secara otomatis oleh Pengelola Sertifikat. Sertifikat yang diperpanjang otomatis dikirim ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.
- Sertifikat
EDGE_CACHE
memiliki periode validitas yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan standar industri saat ini, yaitu 90 hari (dengan interval perpanjangan 60 hari). - Perpanjangan sertifikat biasanya dimulai saat masa berlaku sertifikat akan berakhir 10 hari.
- Anda tidak perlu melakukan tindakan apa pun ketika sertifikat diperpanjang; sertifikat baru ini akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlakunya, tanpa memengaruhi traffic live Anda.
Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, pastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk otorisasi DNS. Menghapus data yang digunakan untuk mendemonstrasikan DCV (Domain Control Validation) akan menyebabkan ketidakmampuan untuk memperpanjang sertifikat Anda dan mencegah klien terhubung melalui HTTPS (TLS) saat masa berlaku sertifikat berakhir.
Data dan root CAA
Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV, smartphone, dan kotak streaming lama, Anda dapat menemukan kumpulan lengkap root CA yang digunakan Google di pki.goog.
Agar Certificate Manager dan Media CDN dapat menerbitkan sertifikat untuk domain dengan data CAA yang ada, tambahkan data CAA pki.goog
:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Domain yang tidak memiliki data CAA tidak perlu menambahkan data ini, tetapi sebaiknya lakukan sebagai praktik terbaik.
Baca lebih lanjut data CAA.
Batas sertifikat
Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per project. Untuk mengetahui batas dan kuota terkait lainnya, lihat dokumentasi Kuota dan batas .
Versi TLS yang didukung
Media CDN mendukung versi TLS berikut:
Versi TLS | Didukung | Cipher yang Disertakan |
---|---|---|
SSL 3.0 | Tidak | T/A (tidak didukung) |
TLS 1.0 | Tidak | T/A (tidak didukung) |
TLS 1.1 | Tidak | T/A (tidak didukung) |
TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS |
TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Selain itu:
- Perangkat yang tidak mendukung TLS versi modern (seperti TLS 1.3) akan otomatis menegosiasikan versi TLS yang didukung.
- TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
- Media CDN tidak mendukung pelampiran kebijakan SSL ke layanan.
Memecahkan masalah penerbitan sertifikat
Jika Anda mengalami error terkait penerbitan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.
Langkah selanjutnya
- Baca Mengonfigurasi sertifikat SSL.
- Memahami konektivitas klien dan dukungan protokol.
- Tinjau cara koneksi SSL (TLS) dibuat ke origin Anda.