媒体 CDN 为从您自己的域名处理经过 TLS 加密 (HTTPS) 的流量提供一流的支持,并支持签名请求。媒体 CDN 由您自己的网域(Bring-Your-Own 或 BYO 网域)提供,无需通过 Google 托管的网域提供。
- 处理 SSL (TLS) 流量或获取 Google 管理的证书无需额外付费:保护最终用户流量无需额外付费。
- 媒体 CDN 支持 Google 管理的证书,这使得 Google 能够管理轮替、密钥并安全地分发到数千个边缘节点以及自行管理(上传)的证书。
- 每项服务最多可以支持 5 个 SSL 证书。
- 每个托管式证书最多可以有 100 个名称(主题备用名称)。
我们建议通过专用主机名(子网域)提供边缘缓存服务,并为媒体网域使用单独的代管式证书,这是一种良好的安全做法。
创建和颁发证书
如需验证、颁发托管式 SSL (TLS) 证书并将其附加到媒体 CDN 服务,请参阅配置 SSL 证书。
证书类型
媒体 CDN 支持两种类型的证书:
- 代管式证书,Google 可以代表您为您拥有的域名预配此类证书。您不需要安全密钥,证书会自动续期。
- 自行管理的证书:您直接上传到证书管理器的证书。您有责任上传受大众信任的有效证书,并在证书到期之前更换证书。
由于可以在将流量定向到媒体 CDN 之前对代管式证书进行授权和颁发,因此您可以在切换生产流量之前预配证书,并避免停机。
在某些情况下,例如您需要在移动应用中需要固定密钥,或者支持具有过时信任存储区的旧版设备,您可能需要使用自行管理的证书。如果您有需要自行管理证书的特定域名(主机),也可以在同一服务上同时使用托管式证书和自行管理的证书。
正在授权证书颁发
如果您希望在完全设置生产环境之前(例如在开始从其他供应商迁移到 Google Cloud 之前)使用 Google 管理的证书,则可以使用 DNS 授权对其进行预配。在这种情况下,证书管理器使用基于 DNS 的验证。每个 DNS 授权都会存储您需要设置的 DNS 记录的相关信息,并且涵盖单个网域及其通配符(例如 myorg.example.com 和 *.myorg.example.com)。
创建 Google 管理的证书时,您可以指定一个或多个 DNS 授权,以用于预配和续订该证书。如果您要对单个网域使用多个证书,则可以在每个证书中指定相同的 DNS 授权。您的 DNS 授权必须涵盖证书中指定的所有网域;否则,证书创建和续订会失败。
您可以使用每个项目的 DNS 授权(预览版)单独管理每个项目的证书。这意味着 Certificate Manager 可以在 Google Cloud 中独立颁发和管理每个项目的证书。您在项目中使用的 DNS 授权和证书是独立的,不与其他项目中的授权和证书进行交互。
设置 DNS 授权时,您需要将 CNAME 记录添加到 DNS 配置中,以用于嵌套在目标网域下的验证子网域。此 CNAME 记录指向一个特殊的 Google Cloud 网域,Certificate Manager 用于验证网域所有权。当您为目标网域创建 DNS 授权时,证书管理器会返回 CNAME 记录。
CNAME 记录还会向证书管理器授予在目标 Google Cloud 项目中为该网域预配和续订证书的权限。如需撤消这些权限,请从 DNS 配置中移除 CNAME 记录。
如需按项目启用 DNS 授权,请在 DNS 授权创建过程中选择 PER_PROJECT_RECORD。选择后,您会收到一条包含子网域和目标的唯一 CNAME 记录,并且该记录是针对特定项目量身定制的。
将 CNAME 记录添加到相关网域的 DNS 区域。
每个证书可有多个网域
通过证书管理器颁发的证书,您可以在同一证书上指定多个域名(主机名)作为主题备用名称。
通过在创建证书时指定网域列表以及所需的任何匹配授权,您可以向证书添加多个网域。
每次授权仅涵盖确切网域(例如 video.example.com)和通配符 (*.example.com),而不涵盖任何显式子网域。例如,如果您需要 eu.video.example.com 的证书,则必须为 eu.video.example.com 网域设置另一个 DNS 授权。
以下示例展示了如何附加 video.example.com 和 eu.video.example.com 的授权:
gcloud
使用 gcloud certificate-manager certificates 命令:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
这将创建一个 DNS 授权处于 AUTHORIZING 状态且证书处于 PROVISIONING 状态的证书:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
各个网域无法共享 DNS 授权。您必须指定多个网域和授权。证书管理器可确定哪些网域需要哪些授权。
如需了解证书的颁发和激活方式,请参阅配置 SSL (TLS) 证书。
证书续订
托管式证书由证书管理器自动续订。 对于您配置的每项活跃服务,续期的证书会自动推送到 Google 的全球边缘。
EDGE_CACHE证书的有效期较短(30 天),可提高安全性和合规性,而当前业界标准为 90 天(续订间隔为 60 天)。- 系统通常在证书失效 10 天后启动证书续订。
- 证书续订时,您无需采取任何措施;新证书会在失效日期之前自动替换现有证书,并且对您的实时流量没有任何影响。
由于发布流水线会在续订之前重新验证网域控制,因此请勿删除为 DNS 授权配置的 DNS 记录。删除用于演示 DCV(网域控制验证)的记录会导致无法续订证书,并在证书过期时阻止客户端通过 HTTPS (TLS) 进行连接。
CAA 记录和根
如需检查与客户端设备(包括旧版智能电视、智能手机和流媒体盒)的兼容性,您可以在 pki.goog 中找到 Google 使用的完整根 CA。
如需允许证书管理器和媒体 CDN 为已有 CAA 记录的网域颁发证书,请添加 pki.goog CAA 记录:
DOMAIN_NAME. CAA 0 issue "pki.goog"
没有 CAA 记录的网域不需要添加此记录,但我们建议将其作为最佳做法。
详细了解 CAA 记录。
证书限制
每个项目最多可以颁发 1000 个托管式证书和 1000 个 DNS 授权。如需了解其他相关限制和配额,请参阅配额和限制文档。
支持的 TLS 版本
媒体 CDN 支持以下 TLS 版本:
| TLS 版本 | 受支持 | 包含的加密方式 |
|---|---|---|
| SSL 3.0 | 否 | 不适用(不支持) |
| TLS 1.0 | 否 | 不适用(不支持) |
| TLS 1.1 | 否 | 不适用(不支持) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_WITH_AES_256_GCM_WITH_AES_256_GCM_WITH_AES_256_GCM_WITH_AES_256_GCM_WITH_AES_256_GCM_SHARS_SHA384。 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256 |
此外:
- 不支持最新版 TLS(例如 TLS 1.3)的设备会自动协商受支持的 TLS 版本。
- TLS 1.2 是媒体 CDN 支持的最低 TLS 版本。
- 媒体 CDN 不支持将 SSL 政策附加到服务。
排查证书颁发问题
如果您在证书颁发方面遇到任何错误,请参阅如何排查证书颁发问题。
后续步骤
- 阅读配置 SSL 证书。
- 了解客户端连接和协议支持。
- 查看如何与源站建立 SSL (TLS) 连接。