Certificados SSL (TLS)

O Media CDN tem suporte de primeira classe para veiculação criptografada por TLS (HTTPS) tráfego do seu próprio nome de domínio, bem como suporte para solicitações assinadas. O Media CDN é veiculado a partir do seu próprio domínio (Traga seu próprio ou domínio BYO) e não precisa ser veiculado a partir de um domínio hospedado pelo Google.

  • Não há cobranças adicionais associadas à veiculação do SSL (TLS) ou receber tráfego gerenciado pelo Google A proteção do tráfego de usuários finais não deve ser algo exorbitante.
  • O Media CDN oferece suporte a certificados gerenciados pelo Google, permitindo que o Google gerencie a rotação, as chaves e a distribuição segura milhares de nós de borda, bem como certificados autogerenciados (enviados por upload).
  • Cada serviço pode oferecer suporte a até cinco certificados SSL.
  • Cada certificado gerenciado pode ter até 100 nomes (alternativa do assunto) nomes).
.

Recomendamos disponibilizar seu serviço de armazenamento em cache de borda nomes de host (subdomínios) e o uso de certificados gerenciados separados para sua mídia domínios do Google Cloud como uma boa prática de segurança.

Criar e emitir certificados

Para validar, emitir e anexar um certificado SSL (TLS) gerenciado a um serviço do Media CDN, consulte Como configurar certificados SSL.

Tipos de certificado

O Media CDN é compatível com dois tipos de certificados:

  • Certificados gerenciados, que o Google pode provisionar em seu nome. nomes de domínio que você possui. Você não precisa de chaves seguras, e os certificados renovado automaticamente.
  • Certificados autogerenciados, que podem ser enviados por upload para o Gerenciador de certificados. diretamente. Você é responsável por fazer o upload de uma imagem válida, certificado, bem como substituí-lo antes da expiração.

Como os certificados gerenciados podem ser autorizados e emitidos antes de no Media CDN, é possível provisionar certificados o corte do tráfego de produção e evite inatividade.

Em alguns casos, como quando é necessário fixar teclas em aplicativos para dispositivos móveis ou para dispositivos legados com repositórios de confiança desatualizados, pode ser necessário usar e autogerenciados. Também é possível usar APIs gerenciadas e autogerenciadas, certificados no mesmo serviço se você tiver nomes de domínio (hosts) específicos que exigem certificados autogerenciados.

Autorização da emissão de certificados

Se você quiser que os certificados gerenciados pelo Google estejam prontos para uso antes da ambiente de produção está totalmente configurado, como antes de iniciar uma migração do outro fornecedor para o Google Cloud, é possível provisioná-los com DNS de autorização. Nesse cenário, o Gerenciador de certificados usa Validação baseada em DNS. Cada autorização de DNS armazena informações sobre que precisa ser configurado e abrange um único domínio mais seu caractere curinga, por exemplo, myorg.example.com e *.myorg.example.com.

Ao criar um certificado gerenciado pelo Google, é possível especificar um ou mais autorizações para provisionamento e renovação desse certificado. Se você usam vários certificados para um único domínio, é possível especificar o mesma autorização de DNS em cada um desses certificados. Suas autorizações de DNS precisa abranger todos os domínios especificados no certificado; caso contrário, o certificado falha na criação e renovações.

É possível gerenciar os certificados de cada projeto separadamente usando o DNS por projeto. autorização. Isso significa que O Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. Autorizações de DNS e os certificados usados em um projeto são autônomos e não interagem com aqueles em outros projetos.

A configuração de uma autorização de DNS exige que você adicione um registro CNAME para um subdomínio de validação aninhado no domínio de destino para sua configuração de DNS. Esse registro CNAME aponta para um domínio especial do Google Cloud que O Gerenciador de certificados usa para verificar a propriedade do domínio. O Gerenciador de certificados retorna o registro CNAME quando você cria uma Autorização de DNS para o domínio de destino.

O registro CNAME também concede ao Gerenciador de certificados o permissões para provisionamento e renovação de certificados para o domínio em questão no projeto de destino do Google Cloud. Para revogar essas permissões, remova CNAME da sua configuração do DNS.

Para ativar a autorização de DNS por projeto, selecione o PER_PROJECT_RECORD durante o processo de criação da autorização de DNS. Após a seleção, você recebe um registro CNAME que inclui subdomínio e destino e é personalizado para o projeto específico.

Adicione o registro CNAME à zona de DNS do domínio relevante.

Vários domínios por certificado

Certificados emitidos pelo Gerenciador de certificados permitem que você especifique vários nomes de domínio (nomes de host) no mesmo certificado que Nomes alternativos do assunto.

É possível adicionar vários domínios a um certificado especificando uma lista de domínios ao criar um certificado, bem como todas as autorizações correspondentes necessárias.

Cada autorização abrange apenas o domínio exato (por exemplo, video.example.com) e o caractere curinga (*.example.com). Ele não abrange nenhum subdomínios explícitos. Se você quiser um certificado para eu.video.example.com, por exemplo, é necessário configurar outra autorização de DNS para o eu.video.example.com.

Os exemplos a seguir mostram como anexar uma autorização para video.example.com e eu.video.example.com:

gcloud

Use o comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Isso cria um certificado com a autorização de DNS no AUTHORIZING e o certificado no estado PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Os domínios não podem compartilhar uma autorização de DNS. Você deve especificar várias domínios e autorizações. Gerenciador de certificados determina quais domínios exigem quais autorizações.

Para saber como os certificados são emitidos e ativados, consulte Configurar o SSL (TLS) do Google Cloud.

Renovação de certificado

Os certificados gerenciados são renovados automaticamente pelo Gerenciador de certificados. Certificados renovados são enviados automaticamente para a borda global do Google a cada serviço ativo que você configurou.

  • Os certificados EDGE_CACHE têm um período de validade curto (30 dias) para melhorar a segurança e o compliance, em comparação com o padrão atual do setor de 90 dias (com um intervalo de renovação de 60 dias).
  • A renovação do certificado geralmente é iniciada quando ele está a 10 dias de expirar.
  • Você não precisa fazer nada quando um certificado for renovado. o novo certificado substitui automaticamente o atual antes a data de validade, sem impacto no tráfego em tempo real.

Como o pipeline de emissão revalida o controle do domínio antes da renovação, não exclua os registros DNS configurados para autorização. Excluir o registro usado para demonstrar o controle de domínio (DCV, na sigla em inglês) validação) resulta na impossibilidade de renovar seus certificados e impede que os clientes se conectem por HTTPS (TLS) quando o certificado expira.

Registros CAA e raízes

Para verificar a compatibilidade com dispositivos clientes, incluindo smart TVs mais antigas, smartphones e caixas de streaming, é possível encontrar o conjunto completo de CAs raiz que O Google usa em pki.goog.

Para permitir que o Gerenciador de certificados e o Media CDN emitir certificados para um domínio com registros CAA existentes, adicione a pki.goog Registro CAA:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Os domínios que não têm registros CAA não precisam adicionar esse registro. mas é uma prática recomendada.

Leia mais sobre os registros CAA.

Limites de certificados

Você pode emitir até 1.000 certificados gerenciados e 1.000 autorizações de DNS por em um projeto de IA. Para outros limites e cotas relacionados, consulte a página Cotas e de código aberto .

Versões de TLS compatíveis

O Media CDN é compatível com as seguintes versões do TLS:

Versão do TLS Compatível Criptografias incluídas
SSL 3,0 Não N/A (incompatível)
TLS 1.0 Não N/D (incompatível)
TLS 1.1 Não N/A (incompatível)
TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Além disso:

  • Dispositivos incompatíveis com as versões modernas do TLS (como o TLS 1.3) negociam automaticamente uma versão TLS com suporte.
  • O TLS 1.2 é a versão de TLS mínima compatível com o Media CDN.
  • O Media CDN não aceita anexar políticas de SSL a um serviço.

Resolver problemas de emissão de certificados

Se você enfrentar erros na emissão de certificados, saiba como Resolver problemas na emissão de certificados.

A seguir