Media CDN memiliki dukungan kelas satu untuk menayangkan traffic terenkripsi TLS (HTTPS) dari nama domain Anda sendiri, serta dukungan untuk permintaan yang ditandatangani. CDN Media ditayangkan dari domain Anda sendiri (domain Bring-Your-Own atau BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.
- Tidak ada biaya tambahan yang terkait dengan penayangan traffic SSL (TLS) atau perolehan sertifikat yang dikelola Google: melindungi traffic pengguna akhir tidak boleh dikenai biaya premium.
- Media CDN mendukung sertifikat yang dikelola Google, sehingga Google dapat mengelola rotasi, kunci, dan distribusi aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
- Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
- Setiap sertifikat terkelola dapat memiliki maksimal 100 nama (Subject Alternative Names).
Sebaiknya tayangkan layanan Edge Cache dari nama host (subdomain) khusus dan gunakan sertifikat terkelola terpisah untuk domain media Anda sebagai praktik keamanan yang baik.
Membuat dan menerbitkan sertifikat
Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke layanan Media CDN, lihat mengonfigurasi sertifikat SSL.
Jenis sertifikat
Media CDN mendukung dua jenis sertifikat:
- Sertifikat terkelola, yang dapat disediakan Google untuk Anda untuk nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat otomatis diperpanjang.
- Sertifikat yang dikelola sendiri, yang Anda upload langsung ke Certificate Manager. Anda bertanggung jawab untuk mengupload sertifikat yang valid dan dipercaya secara publik, serta mengganti sertifikat sebelum masa berlakunya habis.
Karena sertifikat terkelola dapat diotorisasi dan diterbitkan sebelum mengarahkan traffic di Media CDN, Anda dapat menyediakan sertifikat sebelum mengalihkan traffic produksi dan menghindari periode nonaktif.
Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci di aplikasi seluler, atau dukungan untuk perangkat lama dengan trust store yang sudah tidak berlaku, Anda mungkin perlu menggunakan sertifikat yang dikelola sendiri. Anda juga dapat menggunakan sertifikat yang dikelola dan dikelola sendiri di layanan yang sama jika memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.
Memberi otorisasi penerbitan sertifikat
Otorisasi DNS memungkinkan Anda memverifikasi kepemilikan domain dan menyediakan sertifikat yang dikelola Google bahkan sebelum lingkungan produksi disiapkan sepenuhnya. Hal ini sangat berguna saat Anda memigrasikan sertifikat ke Google Cloud.
Pengelola Sertifikat memverifikasi kepemilikan domain melalui data DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS, dan mencakup satu domain serta karakter penggantinya (misalnya, myorg.example.com
dan *.myorg.example.com
).
Saat membuat sertifikat yang dikelola Google, Anda dapat menggunakan satu atau beberapa otorisasi DNS untuk penyediaan dan perpanjangan sertifikat. Jika memiliki beberapa sertifikat untuk satu domain, Anda dapat menggunakan otorisasi DNS yang sama untuk semuanya. Namun, otorisasi DNS Anda harus mencakup semua domain yang tercantum dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.
Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME ke konfigurasi DNS. Data ini digunakan untuk memvalidasi subdomain di domain target Anda. Data CNAME mengarah ke domain Google Cloud khusus yang digunakan Pengelola Sertifikat untuk memverifikasi kepemilikan domain Anda. Saat Anda membuat otorisasi DNS, Pengelola Sertifikat akan menampilkan data CNAME ini dan memverifikasi kepemilikan Anda.
Ingat, data CNAME juga memberi Pengelola Sertifikat izin untuk menyediakan dan memperpanjang sertifikat untuk domain target dalam project Google Cloud Anda. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.
Otorisasi DNS per project
Otorisasi DNS per project memungkinkan Anda mengelola sertifikat secara independen dalam setiap project Google Cloud . Dengan menggunakan otorisasi DNS per project, Pengelola Sertifikat dapat menerbitkan dan menangani sertifikat untuk setiap project secara terpisah. Otorisasi dan sertifikat DNS yang digunakan dalam project bersifat mandiri dan tidak berinteraksi dengan artefak dari project lain.
Untuk mengaktifkan otorisasi DNS per project, pilih opsi PER_PROJECT_RECORD
saat membuat otorisasi DNS. Kemudian, Anda akan menerima data CNAME
unik yang menyertakan subdomain dan target khusus untuk project tersebut. Data CNAME
ini harus ditambahkan ke zona DNS domain yang relevan.
Beberapa domain per sertifikat
Sertifikat yang diterbitkan oleh Pengelola Sertifikat memungkinkan Anda menentukan beberapa nama domain (nama host) pada sertifikat yang sama sebagai Nama Alternatif Subjek.
Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi yang cocok yang diperlukan.
Setiap otorisasi hanya mencakup domain persis (misalnya,
video.example.com
) dan karakter pengganti (*.example.com
). Otorisasi ini tidak mencakup
subdomain eksplisit apa pun. Misalnya, jika Anda menginginkan sertifikat untuk eu.video.example.com
, Anda harus menyiapkan otorisasi DNS lain untuk domain eu.video.example.com
.
Contoh berikut menunjukkan cara melampirkan otorisasi untuk
video.example.com
dan eu.video.example.com
:
gcloud
Gunakan perintah gcloud certificate-manager certificates
:
gcloud certificate-manager certificates create video-example-com \ --domains="video.example.com,eu.video.example.com" \ --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \ --scope=EDGE_CACHE
Tindakan ini akan membuat sertifikat dengan otorisasi DNS dalam statusAUTHORIZING
dan sertifikat dalam status PROVISIONING
:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Domain tidak dapat berbagi otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Pengelola Sertifikat menentukan domain mana yang memerlukan otorisasi.
Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi sertifikat SSL (TLS).
Perpanjangan sertifikat
Sertifikat terkelola diperpanjang secara otomatis oleh Pengelola Sertifikat. Sertifikat yang diperpanjang akan otomatis didorong ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.
- Sertifikat
EDGE_CACHE
memiliki periode validitas yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan standar industri saat ini yang berdurasi 90 hari (dengan interval perpanjangan 60 hari). - Perpanjangan sertifikat biasanya dimulai saat sertifikat akan habis masa berlakunya dalam 10 hari.
- Anda tidak perlu mengambil tindakan saat sertifikat diperpanjang; sertifikat baru akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlakunya, tanpa berdampak pada traffic live Anda.
Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, pastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk otorisasi DNS. Menghapus data yang digunakan untuk menunjukkan DCV (Domain Control Validation) akan menyebabkan ketidakmampuan untuk memperpanjang sertifikat dan mencegah klien terhubung melalui HTTPS (TLS) saat masa berlaku sertifikat berakhir.
Data CAA dan root
Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV lama, ponsel cerdas, dan dekoder streaming, Anda dapat menemukan kumpulan lengkap root CA yang digunakan Google di pki.goog.
Untuk mengizinkan Pengelola Sertifikat dan Media CDN
menerbitkan sertifikat untuk domain dengan data CAA yang ada, tambahkan data CAA
pki.goog
:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Domain yang tidak memiliki data CAA yang ada tidak perlu menambahkan data ini, tetapi sebaiknya Anda melakukannya sebagai praktik terbaik.
Baca selengkapnya tentang data CAA.
Batas sertifikat
Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per project. Untuk mengetahui batas dan kuota terkait lainnya, lihat dokumentasi Kuota dan batas .
Versi TLS yang didukung
Media CDN mendukung versi TLS berikut:
Versi TLS | Didukung | Cipher yang Disertakan |
---|---|---|
SSL 3.0 | Tidak | T/A (tidak didukung) |
TLS 1.0 | Tidak | T/A (tidak didukung) |
TLS 1.1 | Tidak | T/A (tidak didukung) |
TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Selain itu:
- Perangkat yang tidak mendukung TLS versi modern (seperti TLS 1.3) akan otomatis menegosiasikan versi TLS yang didukung.
- TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
- Media CDN tidak mendukung lampiran kebijakan SSL ke layanan.
Memecahkan masalah penerbitan sertifikat
Jika Anda mengalami error terkait penerbitan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.
Langkah selanjutnya
- Baca Mengonfigurasi sertifikat SSL.
- Pahami konektivitas klien dan dukungan protokol.
- Tinjau cara koneksi SSL (TLS) dibuat ke origin Anda.