Media CDN tiene compatibilidad de primer nivel para entregar tráfico encriptado con TLS (HTTPS) desde tu propio nombre de dominio, así como compatibilidad con solicitudes firmadas. Media CDN se entrega desde tu propio dominio (trae tu propio dominio o Media CDN de BYO) y no es necesario que se entregue desde un dominio alojado por Google.
- No hay cargos adicionales asociados con la entrega de tráfico SSL (TLS) o la obtención de certificados administrados por Google: la protección del tráfico del usuario final no debe ser prémium.
- La CDN de Media admite certificados administrados por Google, lo que le permite a Google administrar la rotación, las claves y la distribución segura a miles de nodos perimetrales, así como certificados autoadministrados (subidos).
- Cada servicio puede admitir hasta 5 certificados SSL.
- Cada certificado administrado puede tener hasta 100 nombres (nombres alternativos del sujeto).
Te recomendamos entregar tu servicio de caché perimetral desde nombres de host dedicados (subdominios) y usar certificados administrados independientes para tus dominios de medios, como una buena práctica de seguridad.
Crea y emite certificados
Para validar, emitir y adjuntar un certificado SSL (TLS) administrado a un servicio de Media CDN, consulta cómo configurar certificados SSL.
Tipos de certificados
Media CDN admite dos tipos de certificados:
- Certificados administrados, que Google puede aprovisionar en tu nombre para los nombres de dominio que posees. No necesitas claves seguras, y los certificados se renuevan automáticamente.
- Certificados autoadministrados, que subes directamente al Administrador de certificados Eres responsable de subir un certificado válido y de confianza pública, así como de reemplazarlo antes de que venza.
Debido a que los certificados administrados se pueden autorizar y emitir antes de dirigir el tráfico a la CDN de Media, puedes aprovisionar certificados antes de cambiar tu tráfico de producción y evitar el tiempo de inactividad.
En algunos casos, como cuando necesitas la fijación de claves en aplicaciones para dispositivos móviles o la compatibilidad con dispositivos heredados con almacenes de confianza desactualizados, es posible que debas usar certificados administrados por el usuario. También puedes usar certificados administrados y autoadministrados en el mismo servicio si tienes nombres de dominio (hosts) específicos que requieren certificados autoadministrados.
Autoriza la emisión de certificados
La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados administrados por Google incluso antes de que tu entorno de producción esté completamente configurado. Esto es útil, en especial, cuando migras certificados a Google Cloud.
El Administrador de certificados verifica la propiedad del dominio a través de los registros DNS. Cada autorización de DNS almacena información sobre el registro DNS y abarca un solo dominio y su comodín (por ejemplo, myorg.example.com y *.myorg.example.com).
Cuando creas un certificado administrado por Google, puedes usar una o más autorizaciones de DNS para el aprovisionamiento y la renovación de certificados. Si tienes varios certificados para un solo dominio, puedes usar la misma autorización de DNS para todos ellos. Sin embargo, tus autorizaciones de DNS deben abarcar todos los dominios que aparecen en el certificado. De lo contrario, no se podrán crear ni renovar los certificados.
Para configurar la autorización de DNS, debes agregar un registro CNAME a tu configuración de DNS. Este registro se usa para validar el subdominio en tu dominio de destino. El registro CNAME apunta a un dominio especial de Google Cloud que el Administrador de certificados usa para verificar la propiedad de tu dominio. Cuando creas una autorización de DNS, el Administrador de certificados muestra este registro CNAME y verifica tu propiedad.
Recuerda que el registro CNAME también le otorga permiso al Administrador de certificados para aprovisionar y renovar certificados para el dominio de destino en tu proyecto de Google Cloud. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.
Autorización de DNS por proyecto
La autorización de DNS por proyecto te permite administrar certificados de forma independiente en cada proyecto de Google Cloud. Con la autorización de DNS por proyecto, el Administrador de certificados puede emitir y administrar certificados para cada proyecto por separado. Las autorizaciones y los certificados de DNS que se usan en un proyecto son independientes y no interactúan con artefactos de otros proyectos.
Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD cuando crees una autorización de DNS. Luego, recibirás un registro CNAME único que incluye un subdominio y un objetivo específico para ese proyecto. Este registro CNAME se debe agregar a la zona del DNS del dominio relevante.
Varios dominios por certificado
Los certificados emitidos por el Administrador de certificados te permiten especificar varios nombres de dominio (nombres de host) en el mismo certificado como Nombres alternativos de sujeto.
Para agregar varios dominios a un certificado, especifica una lista de dominios cuando crees un certificado, así como las autorizaciones coincidentes necesarias.
Cada autorización solo cubre el dominio exacto (por ejemplo, video.example.com) y el comodín (*.example.com). No cubre ningún subdominio explícito. Por ejemplo, si quieres un certificado para eu.video.example.com, debes configurar otra autorización de DNS para el dominio eu.video.example.com.
En los siguientes ejemplos, se muestra cómo adjuntar una autorización para video.example.com y eu.video.example.com:
gcloud
Usa el comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Esto crea un certificado con la autorización de DNS en el estado AUTHORIZING y el certificado en el estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Los dominios no pueden compartir una autorización de DNS. Debes especificar varios dominios y autorizaciones. El Administrador de certificados determina qué dominios requieren qué autorizaciones.
Para obtener información sobre cómo se emiten y activan los certificados, consulta Configura certificados SSL (TLS).
Renovación de certificados
El Administrador de certificados renueva automáticamente los certificados administrados. Los certificados renovados se envían automáticamente al perímetro global de Google para cada servicio activo que hayas configurado.
- Los certificados
EDGE_CACHEtienen un período de validez corto (30 días) para mejorar la seguridad y el cumplimiento, en comparación con el estándar actual de la industria de 90 días (con un intervalo de renovación de 60 días). - Por lo general, la renovación del certificado se inicia cuando faltan 10 días para que venza.
- No es necesario que realices ninguna acción cuando se renueve un certificado. El certificado nuevo reemplazará automáticamente el certificado existente antes de la fecha de vencimiento, sin ningún impacto en tu tráfico activo.
Debido a que la canalización de emisión vuelve a validar el control de dominio antes de la renovación, asegúrate de no borrar los registros DNS configurados para la autorización de DNS. Si borras el registro que se usa para demostrar la DCV (validación del control de dominio), no podrás renovar tus certificados y se impedirá que los clientes se conecten a través de HTTPS (TLS) cuando venza el certificado.
Registros y raíces de CAA
Para verificar la compatibilidad con dispositivos cliente, incluidos los televisores inteligentes, los smartphones y los decodificadores más antiguos, puedes encontrar el conjunto completo de CA raíz que usa Google en pki.goog.
Para permitir que el Administrador de certificados y la CDN de Media emitan certificados para un dominio con registros de CAA existentes, agrega el registro de CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Los dominios que no tienen registros de CAA existentes no necesitan agregar este registro, pero te recomendamos que lo hagas.
Obtén más información sobre los registros CAA.
Límites de certificados
Puedes emitir hasta 1,000 certificados administrados y 1,000 autorizaciones de DNS por proyecto. Para conocer otros límites y cuotas, consulta la documentación Cuotas y límites.
Versiones de TLS compatibles
Media CDN admite las siguientes versiones de TLS:
| Versión de TLS | Se admite | Algoritmos de cifrado incluidos |
|---|---|---|
| SSL 3.0 | No | N/A: No admitido |
| TLS 1.0 | No | N/A: No admitido |
| TLS 1.1 | No | N/A: No admitido |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Además:
- Los dispositivos que no admiten versiones modernas de TLS (como TLS 1.3) negocian automáticamente una versión de TLS compatible.
- TLS 1.2 es la versión mínima de TLS admitida para la CDN de Media.
- La CDN de Media no admite adjuntar políticas de SSL a un servicio.
Solucionar problemas relacionados con la emisión de certificados
Si tienes algún error con la emisión de certificados, consulta cómo solucionar problemas de emisión de certificados.
¿Qué sigue?
- Lee Cómo configurar certificados SSL.
- Comprende la conectividad del cliente y la compatibilidad con los protocolos.
- Revisa cómo se establecen las conexiones de SSL (TLS) con tus orígenes.