SSL(TLS) 인증서

Media CDN은 서명된 요청 지원은 물론 자체 도메인 이름에서 TLS 암호화(HTTPS) 트래픽 제공을 완벽하게 지원합니다. Media CDN은 자체 도메인(자체 사용 또는 BYO 도메인)에서 제공되며 Google 호스팅 도메인에서 제공될 필요가 없습니다.

  • SSL(TLS) 트래픽 제공 또는 Google 관리 인증서 획득에는 추가 비용이 들지 않습니다. 최종 사용자 트래픽 보호는 무료로 제공됩니다.
  • Media CDN은 Google이 수천 개의 에지 노드에 대해 순환, 키, 보안 배포를 관리할 수 있게 해주는 Google 관리 인증서는 물론 자체 관리형(업로드된) 인증서를 모두 지원합니다.
  • 각 서비스는 최대 5개의 SSL 인증서를 지원할 수 있습니다.
  • 각 관리형 인증서는 최대 100개의 이름(주체 대체 이름)을 포함할 수 있습니다.

전용 호스트 이름(하위 도메인)에서 에지 캐시 서비스를 제공하고 보안 권장사항에 따라 미디어 도메인에 대해 별개의 관리형 인증서를 사용하는 것이 좋습니다.

인증서 만들기 및 발급

관리형 SSL(TLS) 인증서를 검증 및 발급하고 Media CDN 서비스에 연결하려면 SSL 인증서 구성을 참조하세요.

인증서 유형

Media CDN은 다음 두 가지 유형의 인증서를 지원합니다.

  • 관리형 인증서는 Google이 사용자 소유의 도메인 이름에 대해 사용자 대신 프로비저닝할 수 있는 인증서입니다. 보안 키가 필요하지 않으며 인증서가 자동으로 갱신됩니다.
  • 자체 관리형 인증서는 인증서 관리자에 직접 업로드하는 인증서입니다. 사용자는 공개적으로 신뢰할 수 있는 유효한 인증서를 업로드하고 만료되기 전에 인증서를 교체해야 합니다.

관리형 인증서는 Media CDN에서 트래픽을 전달하기 전에 승인 및 발급될 수 있기 때문에 프로덕션 트래픽으로 전환하기 인증서를 프로비저닝하고 다운타임을 방지할 수 있습니다.

모바일 애플리케이션의 키 고정 또는 오래된 트러스트 저장소의 레거시 기기 지원이 필요한 일부 경우에는 자체 관리형 인증서를 사용해야 할 수 있습니다. 또한 자체 관리형 인증서가 필요한 특정 도메인 이름(호스트)이 있으면 동일한 서비스에서 관리형 및 자체 관리형 인증서를 모두 사용할 수 있습니다.

인증서 발급 승인

DNS 승인을 사용하면 프로덕션 환경이 완전히 설정되기 전이라도 도메인 소유권을 확인하고 Google 관리형 인증서를 프로비저닝할 수 있습니다. 이는 인증서를 Google Cloud로 이전할 때 특히 유용합니다.

인증서 관리자는 DNS 레코드를 통해 도메인 소유권을 확인합니다. 각 DNS 승인은 DNS 레코드에 대한 정보를 저장하고 단일 도메인과 해당 와일드 카드 (예: myorg.example.com*.myorg.example.com)를 포함합니다.

Google 관리형 인증서를 만들 때 인증서 프로비저닝 및 갱신에 DNS 승인을 하나 이상 사용할 수 있습니다. 단일 도메인에 여러 인증서가 있는 경우 모두 동일한 DNS 승인을 사용할 수 있습니다. 하지만 DNS 승인에는 인증서에 나열된 모든 도메인이 포함되어야 합니다. 그렇지 않으면 인증서 생성 및 갱신이 실패합니다.

DNS 승인을 설정하려면 DNS 구성에 CNAME 레코드를 추가해야 합니다. 이 레코드는 타겟 도메인 아래의 하위 도메인을 확인하는 데 사용됩니다. CNAME 레코드는 인증서 관리자가 도메인 소유권을 확인하는 데 사용하는 특수한 Google Cloud 도메인을 가리킵니다. DNS 승인을 만들면 인증서 관리자가 이 CNAME 레코드를 반환하고 소유권을 확인합니다.

또한 CNAME 레코드는 인증서 관리자가 Google Cloud 프로젝트 내에서 대상 도메인의 인증서를 프로비저닝하고 갱신할 수 있는 권한을 부여합니다. 이러한 권한을 취소하려면 DNS 구성에서 CNAME 레코드를 삭제합니다.

프로젝트별 DNS 승인

프로젝트별 DNS 승인을 사용하면 각 Google Cloud 프로젝트 내에서 인증서를 독립적으로 관리할 수 있습니다. 인증서 관리자는 프로젝트별 DNS 승인을 사용하여 각 프로젝트의 인증서를 개별적으로 발급하고 처리할 수 있습니다. 프로젝트 내에서 사용되는 DNS 승인 및 인증서는 독립형이며 다른 프로젝트의 아티팩트와 상호작용하지 않습니다.

프로젝트별 DNS 승인을 활성화하려면 DNS 승인을 만들 때 PER_PROJECT_RECORD 옵션을 선택합니다. 그러면 해당 프로젝트에 맞는 하위 도메인과 타겟을 모두 포함하는 고유한 CNAME 레코드가 수신됩니다. 이 CNAME 레코드는 관련 도메인의 DNS 영역에 추가해야 합니다.

인증서당 여러 도메인

인증서 관리자에서 발급된 인증서를 사용하면 주체 대체 이름과 동일한 인증서에서 여러 도메인 이름(호스트 이름)을 지정할 수 있습니다.

필요한 일치 승인은 물론 인증서 생성 시 도메인 목록을 지정하여 인증서에 여러 도메인을 추가할 수 있습니다.

각 승인에는 전체 도메인(예: video.example.com) 및 와일드 카드(*.example.com)만 포함됩니다. 명시적 하위 도메인은 포함하지 않습니다. 예를 들어 eu.video.example.com의 인증서가 필요하면 eu.video.example.com 도메인에 대해 다른 DNS 승인을 설정해야 합니다.

다음 예시에서는 video.example.comeu.video.example.com에 대해 승인을 연결하는 방법을 보여줍니다.

gcloud

gcloud certificate-manager certificates 명령어를 사용합니다.

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

그러면 DNS 승인이 AUTHORIZING 상태인 인증서가 생성되고 PROVISIONING 상태의 인증서가 생성됩니다.

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

도메인은 DNS 승인을 공유할 수 없습니다. 사용자가 여러 도메인과 승인을 지정해야 합니다. 인증서 관리자는 어떤 도메인에 어떤 승인이 필요한지 결정합니다.

인증서 발급 및 활성화 방법을 보려면 SSL(TLS) 인증서 구성을 참조하세요.

인증서 갱신

관리형 인증서는 인증서 관리자에서 자동으로 갱신됩니다. 갱신된 인증서는 사용자가 구성한 각 활성 서비스에 대해 Google의 전역 에지에 자동으로 푸시됩니다.

  • EDGE_CACHE 인증서는 현재 산업 표준인 90일(60일 갱신 간격 포함)과 달리 보안 및 규정 준수 향상을 위해 짧은 유효 기간(30일)을 갖습니다.
  • 인증서 갱신은 일반적으로 인증서 만료까지 10일 남았을 때 시작됩니다.
  • 인증서가 갱신될 때는 조치를 수행할 필요가 없습니다. 만료 날짜 전에 기존 인증서가 새 인증서로 자동으로 대체되고 실시간 트래픽에 영향을 주지 않습니다.

발급 파이프라인이 갱신 전 도메인 제어를 다시 검증하기 때문에 DNS 승인을 위해 구성된 DNS 레코드를 삭제하지 않아야 합니다. DCV(도메인 제어 검증)를 표시하기 위해 사용되는 레코드를 삭제하면 인증서를 갱신할 수 없게 되고 인증서가 만료되었을 때 클라이언트가 HTTPS(TLS)로 연결할 수 없게 됩니다.

CAA 레코드 및 루트

이전 스마트 TV, 스마트폰, 스트리밍 박스를 비롯한 클라이언트 기기와의 호환성을 확인하기 위해서는 Google이 사용하는 전체 루트 CA 집합을 pki.goog에서 찾을 수 있습니다.

인증서 관리자 및 Media CDN이 기존 CAA 레코드를 사용해서 도메인의 인증서를 발급하도록 허용하려면 pki.goog CAA 레코드를 추가합니다.

DOMAIN_NAME. CAA 0 issue "pki.goog"

기존 CAA 레코드가 없는 도메인은 이 레코드를 추가할 필요가 없지만 권장사항에 따라 추가하는 것이 좋습니다.

CAA 레코드에 대해 자세히 알아보세요.

인증서 한도

프로젝트당 최대 1,000개의 관리형 인증서와 1,000개의 DNS 승인을 발급할 수 있습니다. 기타 관련 한도 및 할당량은 할당량 및 한도 문서를 참조하세요.

지원되는 TLS 버전

Media CDN은 다음 TLS 버전을 지원합니다.

TLS 버전 지원됨 포함된 암호화
SSL 3.0 아니요 해당 사항 없음(지원되지 않음)
TLS 1.0 아니요 해당 사항 없음(지원되지 않음)
TLS 1.1 아니요 해당 사항 없음(지원되지 않음)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

추가사항:

  • TLS(예: TLS 1.3)의 최신 버전을 지원하지 않는 기기는 지원되는 TLS 버전을 자동으로 협상합니다.
  • TLS 1.2는 Media CDN에 지원되는 최소 TLS 버전입니다.
  • Media CDN은 서비스에 대한 SSL 정책 연결을 지원하지 않습니다.

인증서 발급 문제 해결

인증서 발급 오류가 있으면 인증서 발급 문제 해결 방법을 참조하세요.

다음 단계