Media CDN offre un support de premier ordre pour diffuser du trafic chiffré par TLS (HTTPS) depuis votre propre nom de domaine, mais aussi pour les requêtes signées. Le contenu Media CDN est diffusé à partir de votre propre domaine (domaine Bring-Your-Own ou BYO) et n'est pas nécessairement diffusé à partir d'un domaine hébergé par Google.
- La diffusion du trafic SSL (TLS) et l'obtention de certificats gérés par Google n'entraînent aucuns frais supplémentaires : la protection du trafic de l'utilisateur final ne doit pas être un luxe.
- Media CDN est compatible avec les certificats gérés par Google, ce qui permet à Google de gérer la rotation, les clés et la distribution sécurisée sur des milliers de nœuds périphériques, mais aussi avec les certificats autogérés (importés).
- Chaque service peut accepter jusqu'à cinq certificats SSL.
- Chaque certificat géré peut avoir jusqu'à 100 noms (noms d'objet alternatifs).
Nous vous recommandons de diffuser votre service de cache périphérique à partir de noms d'hôte dédiés (sous-domaines) et d'utiliser des certificats gérés distincts pour vos domaines multimédias dans le cadre des bonnes pratiques de sécurité.
Créer et émettre des certificats
Pour valider, émettre et associer un certificat SSL (TLS) géré à un service Media CDN, consultez la page Configurer des certificats SSL.
Types de certificat
Media CDN est compatible avec deux types de certificat :
- Les certificats gérés, que Google peut provisionner en votre nom pour les noms de domaine vous appartenant. Vous n'avez pas besoin de clés sécurisées, et les certificats sont automatiquement renouvelés.
- Les certificats autogérés, que vous importez directement dans le gestionnaire de certificats. Vous êtes tenu d'importer un certificat valide publiquement approuvé et de le remplacer avant son expiration.
Étant donné que les certificats gérés peuvent être autorisés et émis avant de diriger le trafic vers Media CDN, vous pouvez provisionner les certificats avant de basculer votre trafic de production afin d'éviter les temps d'arrêt.
Dans certains cas, par exemple lorsque vous avez besoin d'épingler des clés dans des applications mobiles ou de prendre en charge des anciens appareils avec des magasins de confiance obsolètes, vous devrez peut-être utiliser des certificats autogérés. Vous pouvez également utiliser des certificats gérés et autogérés sur le même service si vous avez des noms de domaine (hôtes) spécifiques qui nécessitent des certificats autogérés.
Autoriser l'émission de certificats
L'autorisation DNS vous permet de vérifier la propriété du domaine et de provisionner des certificats gérés par Google avant même que votre environnement de production ne soit entièrement configuré. Cela est particulièrement utile lorsque vous migrez des certificats vers Google Cloud.
Le Gestionnaire de certificats vérifie la propriété du domaine via les enregistrements DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS et couvre un seul domaine et son caractère générique (par exemple, myorg.example.com
et *.myorg.example.com
).
Lorsque vous créez un certificat géré par Google, vous pouvez utiliser une ou plusieurs autorisations DNS pour le provisionnement et le renouvellement des certificats. Si vous disposez de plusieurs certificats pour un même domaine, vous pouvez utiliser la même autorisation DNS pour chacun d'eux. Toutefois, vos autorisations DNS doivent couvrir tous les domaines listés dans le certificat. Sinon, la création et le renouvellement des certificats échoueront.
Pour configurer l'autorisation DNS, vous devez ajouter un enregistrement CNAME à votre configuration DNS. Cet enregistrement permet de valider le sous-domaine de votre domaine cible. L'enregistrement CNAME pointe vers un domaine Google Cloud spécial utilisé par le gestionnaire de certificats pour valider la propriété de votre domaine. Lorsque vous créez une autorisation DNS, le Gestionnaire de certificats renvoie cet enregistrement CNAME et vérifie que vous en êtes le propriétaire.
N'oubliez pas que l'enregistrement CNAME autorise également le Gestionnaire de certificats à provisionner et à renouveler les certificats pour le domaine cible dans votre projet Google Cloud. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.
Autorisation DNS par projet
L'autorisation DNS par projet vous permet de gérer les certificats indépendamment dans chaque projet Google Cloud. Grâce à l'autorisation DNS par projet, Certificate Manager peut émettre et gérer les certificats de chaque projet séparément. Les autorisations et les certificats DNS utilisés dans un projet sont autonomes et n'interagissent pas avec les artefacts d'autres projets.
Pour activer l'autorisation DNS par projet, choisissez l'option PER_PROJECT_RECORD
lorsque vous créez une autorisation DNS. Vous recevrez ensuite un enregistrement CNAME
unique qui inclut à la fois un sous-domaine et une cible spécifique à ce projet. Cet enregistrement CNAME
doit être ajouté à la zone DNS du domaine concerné.
Plusieurs domaines par certificat
Les certificats émis par le gestionnaire de certificats vous permettent de spécifier plusieurs noms de domaine (noms d'hôte) sur le même certificat en tant que noms d'objet alternatifs.
Pour ajouter plusieurs domaines à un certificat, spécifiez une liste de domaines lors de la création d'un certificat, ainsi que toutes les autorisations requises.
Chaque autorisation ne couvre que le domaine exact (par exemple, video.example.com
) et le caractère générique (*.example.com
). L'autorisation ne couvre aucun sous-domaine explicite. Si vous souhaitez obtenir un certificat pour eu.video.example.com
, par exemple, vous devez configurer une autre autorisation DNS pour le domaine eu.video.example.com
.
Les exemples suivants montrent comment associer une autorisation pour video.example.com
et eu.video.example.com
:
gcloud
Exécutez la commande gcloud certificate-manager certificates
:
gcloud certificate-manager certificates create video-example-com \ --domains="video.example.com,eu.video.example.com" \ --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \ --scope=EDGE_CACHE
Cela crée un certificat avec l'autorisation DNS à l'état AUTHORIZING
et le certificat à l'état PROVISIONING
:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Les domaines ne peuvent pas partager une autorisation DNS. Vous devez spécifier plusieurs domaines et autorisations. Le gestionnaire de certificats détermine les domaines qui requièrent les autorisations.
Pour en savoir plus sur l'émission et l'activation des certificats, consultez la page Configurer des certificats SSL (TLS).
Renouvellement de certificat
Les certificats gérés sont automatiquement renouvelés par le gestionnaire de certificats. Les certificats renouvelés sont automatiquement envoyés au réseau périphérique mondial de Google pour chaque service actif que vous avez configuré.
- Afin d'améliorer la sécurité et la conformité, les certificats
EDGE_CACHE
ont une période de validité courte (30 jours) par rapport à la norme actuelle du secteur de 90 jours (avec un intervalle de renouvellement de 60 jours). - Le renouvellement du certificat est généralement initié lorsque le certificat expire dans 10 jours.
- Aucune action n'est requise de votre part lorsqu'un certificat est renouvelé. Le nouveau certificat remplace automatiquement le certificat existant avant la date d'expiration, sans impact sur votre trafic.
Comme le pipeline d'émission revalide le contrôle du domaine avant le renouvellement, assurez-vous de ne pas supprimer les enregistrements DNS configurés pour l'autorisation DNS. La suppression de l'enregistrement utilisé pour l'authentification DCV (Domain Control Validation) entraîne l'impossibilité de renouveler vos certificats et empêche les clients de se connecter en HTTPS (TLS) une fois le certificat expiré.
Enregistrements CAA et autorités racine
Pour vérifier la compatibilité avec les appareils clients, y compris les Smart TV, smartphones et boîtiers de streaming plus anciens, vous trouverez l'ensemble des autorités de certification racine utilisées par Google sur le site pki.goog.
Pour autoriser le gestionnaire de certificats et Media CDN à émettre des certificats pour un domaine disposant d'enregistrements CAA existants, ajoutez l'enregistrement CAA pki.goog
:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Les domaines qui ne possèdent pas d'enregistrements CAA existants n'ont pas besoin d'ajouter cet enregistrement, mais nous vous le recommandons de le faire dans le cadre des bonnes pratiques.
En savoir plus sur les enregistrements CAA
Limites des certificats
Vous pouvez émettre jusqu'à 1 000 certificats gérés et 1 000 autorisations DNS par projet. Pour connaître les autres limites et quotas associés, consultez la documentation Quotas et limites.
Versions TLS compatibles
Media CDN est compatible avec les versions TLS suivantes:
Version TLS | Compatible | Algorithmes de chiffrement inclus |
---|---|---|
SSL 3.0 | Non | N/A (non compatible) |
TLS 1.0 | Non | N/A (non compatible) |
TLS 1.1 | Non | N/A (non compatible) |
TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_120_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
De plus :
- Les appareils qui ne sont pas compatibles avec les versions modernes de TLS (telles que TLS 1.3) négocient automatiquement une version TLS compatible.
- TLS 1.2 est la version TLS minimale compatible avec Media CDN.
- Media CDN n'est pas compatible avec l'association de règles SSL à un service.
Résoudre les problèmes d'émission de certificats
Si vous rencontrez des erreurs lors de l'émission de certificats, découvrez comment résoudre les problèmes d'émission de certificats.
Étape suivante
- Consultez la section Configurer des certificats SSL.
- Assurez-vous de bien comprendre la connectivité client et la compatibilité des protocoles.
- Examinez la façon dont les connexions SSL (TLS) sont établies pour vos origines.