Halaman ini diterjemahkan oleh Cloud Translation API.

Sertifikat SSL (TLS)

Media CDN memiliki dukungan terbaik untuk menyalurkan traffic yang dienkripsi TLS (HTTPS) dari nama domain Anda sendiri, serta dukungan untuk permintaan yang ditandatangani. Media CDN ditayangkan dari domain Anda sendiri (domain Bring-Your-Own atau BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.

Tidak ada biaya tambahan yang terkait dengan penayangan traffic SSL (TLS) atau perolehan sertifikat yang dikelola Google: melindungi traffic pengguna akhir tidak boleh mahal.
Media CDN mendukung sertifikat yang dikelola Google, sehingga Google dapat mengelola rotasi, kunci, dan distribusi yang aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
Setiap sertifikat terkelola dapat memiliki maksimal 100 nama (Nama Alternatif Subjek).

Sebaiknya tayangkan layanan Edge Cache dari nama host (subdomain) khusus dan gunakan sertifikat terkelola terpisah untuk domain media Anda sebagai praktik keamanan yang baik.

Membuat dan menerbitkan sertifikat

Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke layanan Media CDN, lihat mengonfigurasi sertifikat SSL.

Jenis sertifikat

Media CDN mendukung dua jenis sertifikat:

Sertifikat terkelola, yang dapat disediakan oleh Google atas nama Anda untuk nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat akan diperpanjang secara otomatis.
Sertifikat yang dikelola sendiri, yang Anda upload ke Certificate Manager secara langsung. Anda bertanggung jawab untuk mengupload sertifikat yang valid dan tepercaya secara publik, serta mengganti sertifikat tersebut sebelum masa berlakunya habis.

Karena sertifikat terkelola dapat diotorisasi dan diterbitkan sebelum mengarahkan traffic di Media CDN, Anda dapat menyediakan sertifikat sebelum mengurangi traffic produksi dan menghindari periode nonaktif.

Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci di aplikasi seluler, atau dukungan untuk perangkat lama dengan trust store yang sudah tidak berlaku, Anda mungkin perlu menggunakan sertifikat yang dikelola sendiri. Anda juga dapat menggunakan sertifikat yang dikelola dan dikelola sendiri pada layanan yang sama jika memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.

Memberikan otorisasi pada penerbitan sertifikat

Jika ingin sertifikat yang dikelola Google siap digunakan sebelum lingkungan produksi Anda siap sepenuhnya, seperti sebelum memulai migrasi dari vendor lain ke Google Cloud, Anda dapat menyediakannya dengan otorisasi DNS. Dalam skenario ini, Pengelola Sertifikat menggunakan validasi berbasis DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS yang perlu Anda siapkan dan mencakup satu domain beserta karakter penggantinya—misalnya, myorg.example.com dan *.myorg.example.com.

Saat membuat sertifikat yang dikelola Google, Anda dapat menentukan satu atau beberapa otorisasi DNS yang akan digunakan untuk penyediaan dan perpanjangan sertifikat tersebut. Jika menggunakan beberapa sertifikat untuk satu domain, Anda dapat menentukan otorisasi DNS yang sama di setiap sertifikat tersebut. Otorisasi DNS Anda harus mencakup semua domain yang ditentukan dalam sertifikat. Jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.

Anda dapat mengelola sertifikat untuk setiap project secara terpisah menggunakan otorisasi DNS per project (Pratinjau). Artinya, Certificate Manager dapat menerbitkan dan mengelola sertifikat untuk setiap project secara independen dalam Google Cloud. Otorisasi dan sertifikat DNS yang Anda gunakan dalam project bersifat mandiri dan tidak berinteraksi dengan yang ada di project lain.

Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME untuk sub-domain validasi yang disusun bertingkat dalam domain target ke konfigurasi DNS Anda. Data CNAME ini mengarah ke domain Google Cloud khusus yang digunakan Certificate Manager untuk memverifikasi kepemilikan domain. Certificate Manager menampilkan data CNAME saat Anda membuat otorisasi DNS untuk domain target.

Data CNAME juga memberikan izin penyediaan dan perpanjangan sertifikat kepada Certificate Manager untuk domain tersebut dalam project Google Cloud target. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.

Untuk mengaktifkan otorisasi DNS per project, pilih PER_PROJECT_RECORD selama proses pembuatan otorisasi DNS. Setelah dipilih, Anda akan menerima data CNAME unik yang mencakup subdomain dan target, serta yang disesuaikan dengan project tertentu.

Tambahkan data CNAME ke zona DNS domain yang relevan.

Beberapa domain per sertifikat

Dengan sertifikat yang diterbitkan oleh Certificate Manager, Anda dapat menentukan beberapa nama domain (nama host) pada sertifikat yang sama dengan Nama Alternatif Subjek.

Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi yang cocok yang diperlukan.

Setiap otorisasi hanya mencakup domain yang sama persis (misalnya, video.example.com) dan karakter pengganti (*.example.com). Otorisasi tidak mencakup subdomain eksplisit. Jika menginginkan sertifikat untuk eu.video.example.com, misalnya, Anda harus menyiapkan otorisasi DNS lain untuk domain eu.video.example.com.

Contoh berikut menunjukkan cara melampirkan otorisasi untuk video.example.com dan eu.video.example.com:

gcloud

Gunakan perintah gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Tindakan ini akan membuat sertifikat dengan otorisasi DNS di status AUTHORIZING dan sertifikat dalam status PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Domain tidak dapat membagikan otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Certificate Manager menentukan domain mana yang memerlukan otorisasi tertentu.

Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi sertifikat SSL (TLS).

Perpanjangan sertifikat

Sertifikat terkelola akan diperpanjang secara otomatis oleh Pengelola Sertifikat. Sertifikat yang diperpanjang otomatis dikirim ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.

Sertifikat EDGE_CACHE memiliki periode validitas yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan standar industri saat ini, yaitu 90 hari (dengan interval perpanjangan 60 hari).
Perpanjangan sertifikat biasanya dimulai saat masa berlaku sertifikat akan berakhir 10 hari.
Anda tidak perlu melakukan tindakan apa pun ketika sertifikat diperpanjang; sertifikat baru ini akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlakunya, tanpa memengaruhi traffic live Anda.

Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, pastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk otorisasi DNS. Menghapus data yang digunakan untuk mendemonstrasikan DCV (Domain Control Validation) akan menyebabkan ketidakmampuan untuk memperpanjang sertifikat Anda dan mencegah klien terhubung melalui HTTPS (TLS) saat masa berlaku sertifikat berakhir.

Data dan root CAA

Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV, smartphone, dan kotak streaming lama, Anda dapat menemukan kumpulan lengkap root CA yang digunakan Google di pki.goog.

Agar Certificate Manager dan Media CDN dapat menerbitkan sertifikat untuk domain dengan data CAA yang ada, tambahkan data CAA pki.goog:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Domain yang tidak memiliki data CAA tidak perlu menambahkan data ini, tetapi sebaiknya lakukan sebagai praktik terbaik.

Baca lebih lanjut data CAA.

Batas sertifikat

Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per project. Untuk mengetahui batas dan kuota terkait lainnya, lihat dokumentasi Kuota dan batas .

Versi TLS yang didukung

Media CDN mendukung versi TLS berikut:

Versi TLS	Didukung	Cipher yang Disertakan
SSL 3.0	Tidak	T/A (tidak didukung)
TLS 1.0	Tidak	T/A (tidak didukung)
TLS 1.1	Tidak	T/A (tidak didukung)
TLS 1.2	✔	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS
TLS 1.3	✔	TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Selain itu:

Perangkat yang tidak mendukung TLS versi modern (seperti TLS 1.3) akan otomatis menegosiasikan versi TLS yang didukung.
TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
Media CDN tidak mendukung pelampiran kebijakan SSL ke layanan.

Memecahkan masalah penerbitan sertifikat

Jika Anda mengalami error terkait penerbitan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.

Langkah selanjutnya

Baca Mengonfigurasi sertifikat SSL.
Memahami konektivitas klien dan dukungan protokol.
Tinjau cara koneksi SSL (TLS) dibuat ke origin Anda.