Media CDN offre un supporto di primissimo livello per la pubblicazione con crittografia TLS (HTTPS) traffico proveniente dal tuo nome di dominio, oltre all'assistenza per richieste firmate. Media CDN viene pubblicato dal tuo dominio (Bring-Your-Own o dominio BYO) e non deve essere pubblicato da un dominio ospitato da Google.
- Non sono previsti costi aggiuntivi associati alla pubblicazione di SSL (TLS) traffico o l'ottenimento di dati gestiti da Google certificati: la protezione del traffico degli utenti finali non deve avere una tariffa premium.
- Media CDN supporta sia i certificati gestiti da Google, consentendo a Google di gestire la rotazione, le chiavi e la distribuzione sicura migliaia di nodi periferici, oltre a certificati autogestiti (caricati).
- Ciascun servizio può supportare fino a 5 certificati SSL.
- Ogni certificato gestito può avere fino a 100 nomi (Oggetto alternativo Nomi).
Ti consigliamo di fornire il servizio di cache perimetrale da nomi host (sottodomini) e utilizzo di certificati gestiti separati per i tuoi contenuti multimediali è una buona pratica di sicurezza.
Creare ed emettere certificati
Per convalidare, emettere e collegare un certificato SSL (TLS) gestito a un Per il servizio Media CDN, consulta la sezione sulla configurazione di SSL certificati.
Tipi di certificato
Media CDN supporta due tipi di certificati:
- Certificati gestiti, di cui Google può eseguire il provisioning per tuo conto i nomi di dominio che possiedi. Non hai bisogno di chiavi di sicurezza e i certificati rinnovato automaticamente.
- Certificati autogestiti, che carichi in Gestore certificati strato Add. Sei responsabile del caricamento di un documento valido e pubblicamente attendibile così come la sostituzione del certificato prima della scadenza.
Perché i certificati gestiti possono essere autorizzati ed emessi prima dell'assegnazione traffico su Media CDN, puoi eseguire il provisioning dei certificati di ridurre il traffico di produzione ed evitare tempi di inattività.
In alcuni casi, ad esempio se richiedi il blocco dei tasti nelle app mobile per i dispositivi legacy con archivi di attendibilità obsoleti, potrebbe essere necessario utilizzare e autogestiti. Puoi anche utilizzare app gestite certificati sullo stesso servizio se hai nomi di dominio specifici (host) che richiedono certificati autogestiti.
Autorizzazione del rilascio dei certificati
Se vuoi che i tuoi certificati gestiti da Google siano pronti per l'uso prima del
dell'ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione
a un altro fornitore per Google Cloud, puoi eseguirne il provisioning
autorizzazioni. In questo scenario, Gestore certificati utilizza
Convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul DNS
che devi configurare e che copre un singolo dominio più il relativo carattere jolly, ad esempio
ad esempio myorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare uno o più DNS autorizzazioni da utilizzare per il provisioning e il rinnovo del certificato. Se utilizzano più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ognuno di questi certificati. Le tue autorizzazioni DNS Deve coprire tutti i domini specificati nel certificato. altrimenti, il certificato la creazione e i rinnovi non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando il DNS per progetto autorizzazione (anteprima). Ciò significa che Gestore certificati può emettere e gestire certificati per ogni dei progetti in modo indipendente all'interno di Google Cloud. autorizzazioni DNS e che i certificati che utilizzi all'interno di un progetto sono autonomi e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS è necessario aggiungere un record CNAME per un
di convalida nidificato sotto il dominio di destinazione alla configurazione DNS.
Questo record CNAME rimanda a un dominio Google Cloud speciale che
Utilizza Gestione certificati per verificare la proprietà del dominio.
Gestore certificati restituisce il record CNAME quando crei un
Autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre al Gestore certificati la
le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno di
del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante
il processo di creazione dell'autorizzazione DNS. Al momento della selezione, ricevi un ID
CNAME record che include sia il sottodominio sia il target e che è personalizzato per
per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Più domini per certificato
I certificati emessi da Certificate Manager consentono di specificare più nomi di dominio (nomi host) sullo stesso certificato di Nomi alternativi del soggetto.
Puoi aggiungere più domini a un certificato specificando un elenco di domini quando crei un certificato, così come eventuali autorizzazioni corrispondenti richieste.
Ogni autorizzazione copre solo il dominio esatto (ad esempio,
video.example.com) e il carattere jolly (*.example.com). Non copre eventuali
sottodomini espliciti. Se vuoi un certificato per eu.video.example.com, ad
Ad esempio, devi configurare un'altra autorizzazione DNS per
Dominio eu.video.example.com.
I seguenti esempi mostrano come collegare un'autorizzazione per
video.example.com e eu.video.example.com:
gcloud
Usa il comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Viene creato un certificato con l'autorizzazione DNS in AUTHORIZING
e il certificato nello stato PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
I domini non possono condividere un'autorizzazione DNS. Devi specificare più parametri domini e autorizzazioni. Gestore certificati e determina quali domini richiedono determinate autorizzazioni.
Per informazioni su come i certificati vengono emessi e attivati, vedi Configurare SSL (TLS) certificati.
Rinnovo del certificato
I certificati gestiti vengono rinnovati automaticamente da Gestore certificati. I certificati rinnovati vengono automaticamente inviati al perimetro globale di Google per ogni servizio attivo configurato.
EDGE_CACHEcertificati hanno un periodo di validità breve (30 giorni) per migliorare la sicurezza e la conformità rispetto all'attuale settore standard di 90 giorni (con un intervallo di rinnovo di 60 giorni).- Il rinnovo del certificato viene in genere avviato quando il certificato ha un valore pari a 10 giorni dalla scadenza.
- Non è necessario intraprendere alcuna azione quando un certificato viene rinnovato. il nuovo sostituisce automaticamente il certificato esistente prima la data di scadenza, senza alcun impatto sul tuo traffico in tempo reale.
Poiché la pipeline di emissione riconvalida il controllo del dominio prima del rinnovo, assicurati di non eliminare i record DNS configurati per DNS autorizzazione. Eliminazione del record utilizzato per la dimostrazione di DCV (Domain Control) convalida) comporta l'impossibilità di rinnovare i certificati e impedisce ai client di connettersi tramite HTTPS (TLS) alla scadenza del certificato.
Record CAA e roots
Per verificare la compatibilità con i dispositivi client, incluse le smart TV meno recenti, smartphone e streaming box, il set completo di CA radice Google utilizza all'indirizzo pki.goog.
Consenti a Gestore certificati e Media CDN di
emetti i certificati per un dominio con record CAA esistenti, aggiungi pki.goog
Record CAA:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Per i domini che non hanno record CAA esistenti non è necessario aggiungere questo record. ma lo consigliamo come best practice.
Scopri di più sui record CAA.
Limiti dei certificati
Puoi emettere fino a 1000 certificati gestiti e 1000 autorizzazioni DNS per progetto. Per altri limiti e quote correlati, consulta la sezione Quote e quote sui limiti .
Versioni TLS supportate
Media CDN supporta le seguenti versioni TLS:
| Versione TLS | Supportato | Crittografia incluse |
|---|---|---|
| SSL 3.0 | No | N/D (non supportato) |
| TLS 1.0 | No | N/D (non supportato) |
| TLS 1.1 | No | N/D (non supportato) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Inoltre:
- Dispositivi che non supportano le versioni moderne di TLS (ad esempio TLS 1.3) per la negoziazione automatica di una versione TLS supportata.
- TLS 1.2 è la versione TLS minima supportata per Media CDN.
- Media CDN non supporta il collegamento dei criteri SSL a un servizio.
Risolvere i problemi di emissione dei certificati
Se si verificano errori nell'emissione dei certificati, scopri come risolvere i problemi di emissione dei certificati.
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto del protocollo.
- Esaminare come vengono stabilite le connessioni SSL (TLS) alle tue origini.