Media CDN은 서명된 요청 지원은 물론 자체 도메인 이름에서 TLS 암호화(HTTPS) 트래픽 제공을 완벽하게 지원합니다. Media CDN은 자체 도메인(자체 사용 또는 BYO 도메인)에서 제공되며 Google 호스팅 도메인에서 제공될 필요가 없습니다.
- SSL(TLS) 트래픽 제공 또는 Google 관리 인증서 획득에는 추가 비용이 들지 않습니다. 최종 사용자 트래픽 보호는 무료로 제공됩니다.
- Media CDN은 Google이 수천 개의 에지 노드에 대해 순환, 키, 보안 배포를 관리할 수 있게 해주는 Google 관리 인증서는 물론 자체 관리형(업로드된) 인증서를 모두 지원합니다.
- 각 서비스는 최대 5개의 SSL 인증서를 지원할 수 있습니다.
- 각 관리형 인증서는 최대 100개의 이름(주체 대체 이름)을 포함할 수 있습니다.
전용 호스트 이름(하위 도메인)에서 에지 캐시 서비스를 제공하고 보안 권장사항에 따라 미디어 도메인에 대해 별개의 관리형 인증서를 사용하는 것이 좋습니다.
인증서 만들기 및 발급
관리형 SSL(TLS) 인증서를 검증 및 발급하고 Media CDN 서비스에 연결하려면 SSL 인증서 구성을 참조하세요.
인증서 유형
Media CDN은 다음 두 가지 유형의 인증서를 지원합니다.
- 관리형 인증서는 Google이 사용자 소유의 도메인 이름에 대해 사용자 대신 프로비저닝할 수 있는 인증서입니다. 보안 키가 필요하지 않으며 인증서가 자동으로 갱신됩니다.
- 자체 관리형 인증서는 인증서 관리자에 직접 업로드하는 인증서입니다. 사용자는 공개적으로 신뢰할 수 있는 유효한 인증서를 업로드하고 만료되기 전에 인증서를 교체해야 합니다.
관리형 인증서는 Media CDN에서 트래픽을 전달하기 전에 승인 및 발급될 수 있기 때문에 프로덕션 트래픽으로 전환하기 인증서를 프로비저닝하고 다운타임을 방지할 수 있습니다.
모바일 애플리케이션의 키 고정 또는 오래된 트러스트 저장소의 레거시 기기 지원이 필요한 일부 경우에는 자체 관리형 인증서를 사용해야 할 수 있습니다. 또한 자체 관리형 인증서가 필요한 특정 도메인 이름(호스트)이 있으면 동일한 서비스에서 관리형 및 자체 관리형 인증서를 모두 사용할 수 있습니다.
인증서 발급 승인
DNS 승인을 사용하면 프로덕션 환경이 완전히 설정되기 전이라도 도메인 소유권을 확인하고 Google 관리형 인증서를 프로비저닝할 수 있습니다. 이는 인증서를 Google Cloud로 이전할 때 특히 유용합니다.
인증서 관리자는 DNS 레코드를 통해 도메인 소유권을 확인합니다. 각 DNS 승인은 DNS 레코드에 대한 정보를 저장하고 단일 도메인과 해당 와일드 카드 (예: myorg.example.com
및 *.myorg.example.com
)를 포함합니다.
Google 관리형 인증서를 만들 때 인증서 프로비저닝 및 갱신에 DNS 승인을 하나 이상 사용할 수 있습니다. 단일 도메인에 여러 인증서가 있는 경우 모두 동일한 DNS 승인을 사용할 수 있습니다. 하지만 DNS 승인에는 인증서에 나열된 모든 도메인이 포함되어야 합니다. 그렇지 않으면 인증서 생성 및 갱신이 실패합니다.
DNS 승인을 설정하려면 DNS 구성에 CNAME 레코드를 추가해야 합니다. 이 레코드는 타겟 도메인 아래의 하위 도메인을 확인하는 데 사용됩니다. CNAME 레코드는 인증서 관리자가 도메인 소유권을 확인하는 데 사용하는 특수한 Google Cloud 도메인을 가리킵니다. DNS 승인을 만들면 인증서 관리자가 이 CNAME 레코드를 반환하고 소유권을 확인합니다.
또한 CNAME 레코드는 인증서 관리자가 Google Cloud 프로젝트 내에서 대상 도메인의 인증서를 프로비저닝하고 갱신할 수 있는 권한을 부여합니다. 이러한 권한을 취소하려면 DNS 구성에서 CNAME 레코드를 삭제합니다.
프로젝트별 DNS 승인
프로젝트별 DNS 승인을 사용하면 각 Google Cloud 프로젝트 내에서 인증서를 독립적으로 관리할 수 있습니다. 인증서 관리자는 프로젝트별 DNS 승인을 사용하여 각 프로젝트의 인증서를 개별적으로 발급하고 처리할 수 있습니다. 프로젝트 내에서 사용되는 DNS 승인 및 인증서는 독립형이며 다른 프로젝트의 아티팩트와 상호작용하지 않습니다.
프로젝트별 DNS 승인을 활성화하려면 DNS 승인을 만들 때 PER_PROJECT_RECORD
옵션을 선택합니다. 그러면 해당 프로젝트에 맞는 하위 도메인과 타겟을 모두 포함하는 고유한 CNAME
레코드가 수신됩니다. 이 CNAME
레코드는 관련 도메인의 DNS 영역에 추가해야 합니다.
인증서당 여러 도메인
인증서 관리자에서 발급된 인증서를 사용하면 주체 대체 이름과 동일한 인증서에서 여러 도메인 이름(호스트 이름)을 지정할 수 있습니다.
필요한 일치 승인은 물론 인증서 생성 시 도메인 목록을 지정하여 인증서에 여러 도메인을 추가할 수 있습니다.
각 승인에는 전체 도메인(예: video.example.com
) 및 와일드 카드(*.example.com
)만 포함됩니다. 명시적 하위 도메인은 포함하지 않습니다. 예를 들어 eu.video.example.com
의 인증서가 필요하면 eu.video.example.com
도메인에 대해 다른 DNS 승인을 설정해야 합니다.
다음 예시에서는 video.example.com
및 eu.video.example.com
에 대해 승인을 연결하는 방법을 보여줍니다.
gcloud
gcloud certificate-manager certificates
명령어를 사용합니다.
gcloud certificate-manager certificates create video-example-com \ --domains="video.example.com,eu.video.example.com" \ --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \ --scope=EDGE_CACHE
그러면 DNS 승인이 AUTHORIZING
상태인 인증서가 생성되고 PROVISIONING
상태의 인증서가 생성됩니다.
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
도메인은 DNS 승인을 공유할 수 없습니다. 사용자가 여러 도메인과 승인을 지정해야 합니다. 인증서 관리자는 어떤 도메인에 어떤 승인이 필요한지 결정합니다.
인증서 발급 및 활성화 방법을 보려면 SSL(TLS) 인증서 구성을 참조하세요.
인증서 갱신
관리형 인증서는 인증서 관리자에서 자동으로 갱신됩니다. 갱신된 인증서는 사용자가 구성한 각 활성 서비스에 대해 Google의 전역 에지에 자동으로 푸시됩니다.
EDGE_CACHE
인증서는 현재 산업 표준인 90일(60일 갱신 간격 포함)과 달리 보안 및 규정 준수 향상을 위해 짧은 유효 기간(30일)을 갖습니다.- 인증서 갱신은 일반적으로 인증서 만료까지 10일 남았을 때 시작됩니다.
- 인증서가 갱신될 때는 조치를 수행할 필요가 없습니다. 만료 날짜 전에 기존 인증서가 새 인증서로 자동으로 대체되고 실시간 트래픽에 영향을 주지 않습니다.
발급 파이프라인이 갱신 전 도메인 제어를 다시 검증하기 때문에 DNS 승인을 위해 구성된 DNS 레코드를 삭제하지 않아야 합니다. DCV(도메인 제어 검증)를 표시하기 위해 사용되는 레코드를 삭제하면 인증서를 갱신할 수 없게 되고 인증서가 만료되었을 때 클라이언트가 HTTPS(TLS)로 연결할 수 없게 됩니다.
CAA 레코드 및 루트
이전 스마트 TV, 스마트폰, 스트리밍 박스를 비롯한 클라이언트 기기와의 호환성을 확인하기 위해서는 Google이 사용하는 전체 루트 CA 집합을 pki.goog에서 찾을 수 있습니다.
인증서 관리자 및 Media CDN이 기존 CAA 레코드를 사용해서 도메인의 인증서를 발급하도록 허용하려면 pki.goog
CAA 레코드를 추가합니다.
DOMAIN_NAME. CAA 0 issue "pki.goog"
기존 CAA 레코드가 없는 도메인은 이 레코드를 추가할 필요가 없지만 권장사항에 따라 추가하는 것이 좋습니다.
CAA 레코드에 대해 자세히 알아보세요.
인증서 한도
프로젝트당 최대 1,000개의 관리형 인증서와 1,000개의 DNS 승인을 발급할 수 있습니다. 기타 관련 한도 및 할당량은 할당량 및 한도 문서를 참조하세요.
지원되는 TLS 버전
Media CDN은 다음 TLS 버전을 지원합니다.
TLS 버전 | 지원됨 | 포함된 암호화 |
---|---|---|
SSL 3.0 | 아니요 | 해당 사항 없음(지원되지 않음) |
TLS 1.0 | 아니요 | 해당 사항 없음(지원되지 않음) |
TLS 1.1 | 아니요 | 해당 사항 없음(지원되지 않음) |
TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
추가사항:
- TLS(예: TLS 1.3)의 최신 버전을 지원하지 않는 기기는 지원되는 TLS 버전을 자동으로 협상합니다.
- TLS 1.2는 Media CDN에 지원되는 최소 TLS 버전입니다.
- Media CDN은 서비스에 대한 SSL 정책 연결을 지원하지 않습니다.
인증서 발급 문제 해결
인증서 발급 오류가 있으면 인증서 발급 문제 해결 방법을 참조하세요.
다음 단계
- SSL 인증서 구성 자세히 알아보기
- 클라이언트 연결 및 프로토콜 지원 이해
- 원본에 대한 SSL(TLS) 연결 설정 방법 검토