Sertifikat SSL (TLS)

Media CDN memiliki dukungan kelas satu untuk menayangkan traffic terenkripsi TLS (HTTPS) dari nama domain Anda sendiri, serta dukungan untuk permintaan yang ditandatangani. CDN Media ditayangkan dari domain Anda sendiri (domain Bring-Your-Own atau BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.

  • Tidak ada biaya tambahan yang terkait dengan penayangan traffic SSL (TLS) atau perolehan sertifikat yang dikelola Google: melindungi traffic pengguna akhir tidak boleh dikenai biaya premium.
  • Media CDN mendukung sertifikat yang dikelola Google, sehingga Google dapat mengelola rotasi, kunci, dan distribusi aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
  • Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
  • Setiap sertifikat terkelola dapat memiliki maksimal 100 nama (Subject Alternative Names).

Sebaiknya tayangkan layanan Edge Cache dari nama host (subdomain) khusus dan gunakan sertifikat terkelola terpisah untuk domain media Anda sebagai praktik keamanan yang baik.

Membuat dan menerbitkan sertifikat

Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke layanan Media CDN, lihat mengonfigurasi sertifikat SSL.

Jenis sertifikat

Media CDN mendukung dua jenis sertifikat:

  • Sertifikat terkelola, yang dapat disediakan Google untuk Anda untuk nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat otomatis diperpanjang.
  • Sertifikat yang dikelola sendiri, yang Anda upload langsung ke Certificate Manager. Anda bertanggung jawab untuk mengupload sertifikat yang valid dan dipercaya secara publik, serta mengganti sertifikat sebelum masa berlakunya habis.

Karena sertifikat terkelola dapat diotorisasi dan diterbitkan sebelum mengarahkan traffic di Media CDN, Anda dapat menyediakan sertifikat sebelum mengalihkan traffic produksi dan menghindari periode nonaktif.

Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci di aplikasi seluler, atau dukungan untuk perangkat lama dengan trust store yang sudah tidak berlaku, Anda mungkin perlu menggunakan sertifikat yang dikelola sendiri. Anda juga dapat menggunakan sertifikat yang dikelola dan dikelola sendiri di layanan yang sama jika memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.

Memberi otorisasi penerbitan sertifikat

Otorisasi DNS memungkinkan Anda memverifikasi kepemilikan domain dan menyediakan sertifikat yang dikelola Google bahkan sebelum lingkungan produksi disiapkan sepenuhnya. Hal ini sangat berguna saat Anda memigrasikan sertifikat ke Google Cloud.

Pengelola Sertifikat memverifikasi kepemilikan domain melalui data DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS, dan mencakup satu domain serta karakter penggantinya (misalnya, myorg.example.com dan *.myorg.example.com).

Saat membuat sertifikat yang dikelola Google, Anda dapat menggunakan satu atau beberapa otorisasi DNS untuk penyediaan dan perpanjangan sertifikat. Jika memiliki beberapa sertifikat untuk satu domain, Anda dapat menggunakan otorisasi DNS yang sama untuk semuanya. Namun, otorisasi DNS Anda harus mencakup semua domain yang tercantum dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.

Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME ke konfigurasi DNS. Data ini digunakan untuk memvalidasi subdomain di domain target Anda. Data CNAME mengarah ke domain Google Cloud khusus yang digunakan Pengelola Sertifikat untuk memverifikasi kepemilikan domain Anda. Saat Anda membuat otorisasi DNS, Pengelola Sertifikat akan menampilkan data CNAME ini dan memverifikasi kepemilikan Anda.

Ingat, data CNAME juga memberi Pengelola Sertifikat izin untuk menyediakan dan memperpanjang sertifikat untuk domain target dalam project Google Cloud Anda. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.

Otorisasi DNS per project

Otorisasi DNS per project memungkinkan Anda mengelola sertifikat secara independen dalam setiap project Google Cloud . Dengan menggunakan otorisasi DNS per project, Pengelola Sertifikat dapat menerbitkan dan menangani sertifikat untuk setiap project secara terpisah. Otorisasi dan sertifikat DNS yang digunakan dalam project bersifat mandiri dan tidak berinteraksi dengan artefak dari project lain.

Untuk mengaktifkan otorisasi DNS per project, pilih opsi PER_PROJECT_RECORD saat membuat otorisasi DNS. Kemudian, Anda akan menerima data CNAME unik yang menyertakan subdomain dan target khusus untuk project tersebut. Data CNAME ini harus ditambahkan ke zona DNS domain yang relevan.

Beberapa domain per sertifikat

Sertifikat yang diterbitkan oleh Pengelola Sertifikat memungkinkan Anda menentukan beberapa nama domain (nama host) pada sertifikat yang sama sebagai Nama Alternatif Subjek.

Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi yang cocok yang diperlukan.

Setiap otorisasi hanya mencakup domain persis (misalnya, video.example.com) dan karakter pengganti (*.example.com). Otorisasi ini tidak mencakup subdomain eksplisit apa pun. Misalnya, jika Anda menginginkan sertifikat untuk eu.video.example.com, Anda harus menyiapkan otorisasi DNS lain untuk domain eu.video.example.com.

Contoh berikut menunjukkan cara melampirkan otorisasi untuk video.example.com dan eu.video.example.com:

gcloud

Gunakan perintah gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Tindakan ini akan membuat sertifikat dengan otorisasi DNS dalam statusAUTHORIZING dan sertifikat dalam status PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Domain tidak dapat berbagi otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Pengelola Sertifikat menentukan domain mana yang memerlukan otorisasi.

Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi sertifikat SSL (TLS).

Perpanjangan sertifikat

Sertifikat terkelola diperpanjang secara otomatis oleh Pengelola Sertifikat. Sertifikat yang diperpanjang akan otomatis didorong ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.

  • Sertifikat EDGE_CACHE memiliki periode validitas yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan standar industri saat ini yang berdurasi 90 hari (dengan interval perpanjangan 60 hari).
  • Perpanjangan sertifikat biasanya dimulai saat sertifikat akan habis masa berlakunya dalam 10 hari.
  • Anda tidak perlu mengambil tindakan saat sertifikat diperpanjang; sertifikat baru akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlakunya, tanpa berdampak pada traffic live Anda.

Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, pastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk otorisasi DNS. Menghapus data yang digunakan untuk menunjukkan DCV (Domain Control Validation) akan menyebabkan ketidakmampuan untuk memperpanjang sertifikat dan mencegah klien terhubung melalui HTTPS (TLS) saat masa berlaku sertifikat berakhir.

Data CAA dan root

Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV lama, ponsel cerdas, dan dekoder streaming, Anda dapat menemukan kumpulan lengkap root CA yang digunakan Google di pki.goog.

Untuk mengizinkan Pengelola Sertifikat dan Media CDN menerbitkan sertifikat untuk domain dengan data CAA yang ada, tambahkan data CAA pki.goog:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Domain yang tidak memiliki data CAA yang ada tidak perlu menambahkan data ini, tetapi sebaiknya Anda melakukannya sebagai praktik terbaik.

Baca selengkapnya tentang data CAA.

Batas sertifikat

Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per project. Untuk mengetahui batas dan kuota terkait lainnya, lihat dokumentasi Kuota dan batas .

Versi TLS yang didukung

Media CDN mendukung versi TLS berikut:

Versi TLS Didukung Cipher yang Disertakan
SSL 3.0 Tidak T/A (tidak didukung)
TLS 1.0 Tidak T/A (tidak didukung)
TLS 1.1 Tidak T/A (tidak didukung)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Selain itu:

  • Perangkat yang tidak mendukung TLS versi modern (seperti TLS 1.3) akan otomatis menegosiasikan versi TLS yang didukung.
  • TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
  • Media CDN tidak mendukung lampiran kebijakan SSL ke layanan.

Memecahkan masalah penerbitan sertifikat

Jika Anda mengalami error terkait penerbitan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.

Langkah selanjutnya