Media CDN offre un'assistenza di prima classe per la pubblicazione di traffico criptato con TLS (HTTPS) dal tuo nome di dominio, nonché il supporto per le richieste firmate. Media CDN viene pubblicato dal tuo dominio (Bring-Your-Own o dominio BYO) e non deve essere pubblicato da un dominio ospitato da Google.
- Non sono previsti costi aggiuntivi associati alla pubblicazione di traffico SSL (TLS) o all'ottenimento di certificati gestiti da Google: la protezione del traffico degli utenti finali non deve essere a pagamento.
- Media CDN supporta sia i certificati gestiti da Google, consentendo a Google di gestire la rotazione, le chiavi e la distribuzione sicura migliaia di nodi periferici, oltre a certificati autogestiti (caricati).
- Ciascun servizio può supportare fino a 5 certificati SSL.
- Ogni certificato gestito può avere fino a 100 nomi (Oggetto alternativo Nomi).
Ti consigliamo di fornire il servizio di cache perimetrale da nomi host (sottodomini) e utilizzo di certificati gestiti separati per i tuoi contenuti multimediali è una buona pratica di sicurezza.
Creare ed emettere certificati
Per convalidare, emettere e collegare un certificato SSL (TLS) gestito a un Per il servizio Media CDN, consulta la sezione sulla configurazione di SSL certificati.
Tipi di certificati
Media CDN supporta due tipi di certificati:
- Certificati gestiti, di cui Google può eseguire il provisioning per tuo conto i nomi di dominio che possiedi. Non sono necessarie chiavi sicure e i certificati vengono rinnovati automaticamente.
- Certificati autogestiti, che carichi direttamente in Gestore certificati. È tua responsabilità caricare un certificato valido e attendibile pubblicamente, nonché sostituirlo prima della scadenza.
Perché i certificati gestiti possono essere autorizzati ed emessi prima dell'assegnazione traffico su Media CDN, puoi eseguire il provisioning dei certificati di ridurre il traffico di produzione ed evitare tempi di inattività.
In alcuni casi, ad esempio se hai bisogno del pinning delle chiavi nelle applicazioni mobile o del supporto per i dispositivi legacy con magazzini attendibili obsoleti, potresti dover utilizzare i certificati gestiti autonomamente. Puoi anche utilizzare app gestite certificati sullo stesso servizio se hai nomi di dominio specifici (host) che richiedono certificati autogestiti.
Autorizzazione del rilascio dei certificati
Se vuoi che i tuoi certificati gestiti da Google siano pronti per l'uso prima del
dell'ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione
a un altro fornitore per Google Cloud, puoi eseguirne il provisioning
autorizzazioni. In questo scenario, Certificate Manager utilizza la convalida basata su DNS. Ogni autorizzazione DNS memorizza le informazioni sul
record DNS da configurare e copre un singolo dominio più il relativo carattere jolly, ad esempiomyorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare uno o più DNS autorizzazioni da utilizzare per il provisioning e il rinnovo del certificato. Se utilizzano più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ognuno di questi certificati. Le tue autorizzazioni DNS Deve coprire tutti i domini specificati nel certificato. altrimenti, il certificato la creazione e i rinnovi non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando l'autorizzazione DNS per progetto. Ciò significa che Gestore certificati può emettere e gestire certificati per ogni dei progetti in modo indipendente all'interno di Google Cloud. le autorizzazioni DNS e che i certificati che utilizzi all'interno di un progetto sono autonomi e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS, devi aggiungere un record CNAME per un sottodominio di convalida nidificato nel dominio di destinazione alla configurazione DNS.
Questo record CNAME rimanda a un dominio Google Cloud speciale che
Utilizza Gestione certificati per verificare la proprietà del dominio.
Certificate Manager restituisce il record CNAME quando crei un'autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre al Gestore certificati la
le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno di
del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante
il processo di creazione dell'autorizzazione DNS. Al termine della selezione, ricevi un record CNAME univoco che include sia il sottodominio sia il target ed è personalizzato per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Più domini per certificato
I certificati emessi da Certificate Manager ti consentono di specificare più nomi di dominio (nomi host) nello stesso certificato come Nomi alternativi dell'oggetto.
Puoi aggiungere più domini a un certificato specificando un elenco di domini durante la creazione di un certificato, nonché eventuali autorizzazioni corrispondenti richieste.
Ogni autorizzazione copre solo il dominio esatto (ad esempio video.example.com) e il carattere jolly (*.example.com). Non copre i sottodomini espliciti. Ad esempio, se vuoi un certificato per eu.video.example.com, devi configurare un'altra autorizzazione DNS per il dominio eu.video.example.com.
Gli esempi seguenti mostrano come allegare un'autorizzazione per video.example.com e eu.video.example.com:
gcloud
Utilizza il comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Viene creato un certificato con l'autorizzazione DNS nello statoAUTHORIZING
e il certificato nello stato PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
I domini non possono condividere un'autorizzazione DNS. Devi specificare più parametri domini e autorizzazioni. Gestore certificati e determina quali domini richiedono determinate autorizzazioni.
Per informazioni su come i certificati vengono emessi e attivati, vedi Configurare SSL (TLS) certificati.
Rinnovo del certificato
I certificati gestiti vengono rinnovati automaticamente da Gestore certificati. I certificati rinnovati vengono automaticamente inviati al perimetro globale di Google per ogni servizio attivo configurato.
EDGE_CACHEcertificati hanno un periodo di validità breve (30 giorni) per migliorare la sicurezza e la conformità rispetto all'attuale settore standard di 90 giorni (con un intervallo di rinnovo di 60 giorni).- In genere, il rinnovo del certificato viene avviato 10 giorni prima della scadenza.
- Non è necessario intraprendere alcuna azione quando un certificato viene rinnovato. il nuovo sostituisce automaticamente il certificato esistente prima la data di scadenza, senza alcun impatto sul tuo traffico in tempo reale.
Poiché la pipeline di emissione riconvalida il controllo del dominio prima del rinnovo, assicurati di non eliminare i record DNS configurati per DNS autorizzazione. L'eliminazione del record utilizzato per dimostrare la convalida del controllo del dominio (DCV) comporta l'impossibilità di rinnovare i certificati e impedisce ai client di connettersi tramite HTTPS (TLS) alla scadenza del certificato.
Record CAA e radici
Per verificare la compatibilità con i dispositivi client, incluse le smart TV meno recenti, smartphone e streaming box, il set completo di CA radice Google utilizza all'indirizzo pki.goog.
Per consentire a Certificate Manager e Media CDN di
emettere certificati per un dominio con record CAA esistenti, aggiungi il record CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
I domini che non hanno record CAA esistenti non devono aggiungere questo record, ma lo consigliamo come best practice.
Scopri di più sui record CAA.
Limiti dei certificati
Puoi emettere fino a 1000 certificati gestiti e 1000 autorizzazioni DNS per progetto. Per altri limiti e quote correlati, consulta la documentazione Quote e limiti.
Versioni TLS supportate
Media CDN supporta le seguenti versioni TLS:
| Versione TLS | Supportato | Crittografia incluse |
|---|---|---|
| SSL 3.0 | No | N/A (non supportato) |
| TLS 1.0 | No | N/A (non supportato) |
| TLS 1.1 | No | N/D (non supportato) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Inoltre:
- Dispositivi che non supportano le versioni moderne di TLS (ad esempio TLS 1.3) per la negoziazione automatica di una versione TLS supportata.
- TLS 1.2 è la versione TLS minima supportata per Media CDN.
- Media CDN non supporta il collegamento dei criteri SSL a un servizio.
Risolvere i problemi relativi al rilascio dei certificati
Se riscontri errori con l'emissione dei certificati, scopri come risolvere i problemi di emissione dei certificati.
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto del protocollo.
- Controlla come vengono stabilite le connessioni SSL (TLS) alle origini.