Media CDN bietet erstklassige Unterstützung für die Bereitstellung von TLS-verschlüsseltem Traffic (HTTPS) von Ihrem eigenen Domainnamen sowie Unterstützung für signierte Anfragen. Media CDN wird von Ihrer eigenen Domain (Bring-Your-Own- oder BYO-Domain) bereitgestellt und muss nicht über eine von Google gehostete Domain bereitgestellt werden.
- Für die Bereitstellung von SSL/TLS-Traffic oder das Abrufen von Google-verwalteten Zertifikaten fallen keine zusätzlichen Gebühren an: Der Schutz des Endnutzer-Traffics sollte nicht zu einem Aufpreis führen.
- Media CDN unterstützt sowohl von Google verwaltete Zertifikate, mit denen Google die Rotation, die Schlüssel und die sichere Verteilung an Tausende von Edge-Knoten verwalten kann, als auch selbst verwaltete (hochgeladene) Zertifikate.
- Jeder Dienst kann bis zu fünf SSL-Zertifikate unterstützen.
- Jedes verwaltete Zertifikat kann bis zu 100 Namen haben (Alternative Antragstellernamen).
Wir empfehlen, den Edge Cache-Dienst über dedizierte Hostnamen (Subdomains) bereitzustellen und separate verwaltete Zertifikate für Ihre Mediendomains zu verwenden.
Zertifikate erstellen und ausstellen
Informationen zum Validieren, Ausstellen und Anhängen eines verwalteten SSL/TLS-Zertifikats an einen Media CDN-Dienst finden Sie unter SSL-Zertifikate konfigurieren.
Zertifikat-Typen
Media CDN unterstützt zwei Arten von Zertifikaten:
- Verwaltete Zertifikate, die Google in Ihrem Namen für Domainnamen bereitstellen kann. Sie benötigen keine Sicherheitsschlüssel und Zertifikate werden automatisch verlängert.
- Selbstverwaltete Zertifikate, die Sie direkt in den Zertifikatmanager hochladen. Sie sind dafür verantwortlich, ein gültiges, öffentlich vertrauenswürdiges Zertifikat hochzuladen und das Zertifikat vor Ablauf zu ersetzen.
Da verwaltete Zertifikate vor der Weiterleitung des Traffics an Media CDN autorisiert und ausgestellt werden können, können Sie Zertifikate bereitstellen, bevor Sie Ihren Produktionstraffic umstellen, und Ausfallzeiten vermeiden.
In einigen Fällen, z. B. wenn Sie Key-Pinning in mobilen Anwendungen oder Unterstützung für ältere Geräte mit veralteten Trust Stores benötigen, müssen Sie möglicherweise selbstverwaltete Zertifikate verwenden. Sie können auch sowohl verwaltete als auch selbstverwaltete Zertifikate für denselben Dienst verwenden, wenn Sie bestimmte Domainnamen (Hosts) haben, die selbstverwaltete Zertifikate erfordern.
Zertifikatsausstellung autorisieren
Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. example.com und *.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Sie können dieselbe DNS-Autorisierung in mehreren Zertifikaten angeben. Die DNS-Autorisierungen müssen alle im Zertifikat angegebenen Domains abdecken, andernfalls schlägt die Erstellung und Erneuerung des Zertifikats fehl.
Zum Einrichten einer DNS-Autorisierung müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag für eine Validierungsdomain hinzufügen, die unter Ihrer Zieldomain verschachtelt ist. Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird.
In dieser Domain stellt Certificate Manager einen TXT-Eintrag bereit, der aus der einmaligen Identitätsbestätigung von der Zertifizierungsstelle generiert wurde. Die Zertifizierungsstelle muss auf diesen TXT-Eintrag zugreifen können, um die Bestätigung der Domaininhaberschaft abzuschließen. Wenn Sie die DNS-Autorisierung für die Zieldomain erstellen, gibt Certificate Manager den entsprechenden CNAME-Eintrag zurück.
Der CNAME-Eintrag gewährt auch Certificate Manager-Berechtigungen für die Bereitstellung und Verlängerung von Zertifikaten für diese Domain innerhalb des Google Cloud-Zielprojekts. Entfernen Sie den CNAME-Eintrag aus Ihrer DNS-Konfiguration, um diese Berechtigungen zu widerrufen.
Mehrere Domains pro Zertifikat
Vom Zertifikatmanager ausgestellte Zertifikate ermöglichen die Angabe mehrerer Domainnamen (Hostnamen) im selben Zertifikat wie Alternative Antragstellernamen.
Sie können einem Zertifikat mehrere Domains hinzufügen. Geben Sie dazu beim Erstellen des Zertifikats eine Liste der Domains sowie alle erforderlichen Autorisierungen an.
Jede Autorisierung deckt nur die genaue Domain (z. B. video.example.com) und den Platzhalter (*.example.com) ab. Es werden keine expliziten Subdomains abgedeckt. Wenn Sie beispielsweise ein Zertifikat für eu.video.example.com verwenden möchten, müssen Sie eine weitere DNS-Autorisierung für die Domain eu.video.example.com einrichten.
Die folgenden Beispiele zeigen, wie Sie eine Autorisierung für video.example.com und eu.video.example.com anhängen:
gcloud
Führen Sie den Befehl gcloud certificate-manager certificates aus:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Dadurch wird ein Zertifikat mit der DNS-Autorisierung im Status AUTHORIZING und das Zertifikat im Status PROVISIONING erstellt:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Domains können keine DNS-Autorisierung freigeben. Sie müssen mehrere Domains und Autorisierungen angeben. Certificate Manager ermittelt, welche Domains welche Autorisierungen erfordern.
Informationen zum Ausstellen und Aktivieren von Zertifikaten finden Sie unter SSL-Zertifikate konfigurieren.
Zertifikatverlängerung
Verwaltete Zertifikate werden automatisch von Certificate Manager verlängert. Verlängerte Zertifikate werden automatisch für jeden aktiven Dienst, den Sie konfiguriert haben, an das globale Edge-Netzwerk von Google übertragen.
EDGE_CACHE-Zertifikate haben eine kurze Gültigkeitsdauer (30 Tage), um die Sicherheit und Compliance zu verbessern, im Vergleich zum aktuellen Industriestandard von 90 Tagen (mit einem Verlängerungsintervall von 60 Tagen).- Die Verlängerung des Zertifikats wird normalerweise gestartet, wenn das Zertifikat 10 Tage nach Ablauf abläuft.
- Sie müssen nichts unternehmen, wenn ein Zertifikat verlängert wird. Das neue Zertifikat ersetzt das vorhandene Zertifikat automatisch vor dem Ablaufdatum, ohne Auswirkungen auf den Live-Traffic.
Da die Ausstellungspipeline die Domainsteuerung vor der Verlängerung neu validiert, müssen Sie darauf achten, dass Sie die für die DNS-Autorisierung konfigurierten DNS-Einträge nicht löschen. Wenn Sie den Eintrag zum Demonstrieren der DCV (Domain Control Validation – Validierung der Bereichskontrolle) löschen, können Ihre Zertifikate nicht verlängert werden und es wird verhindert, dass Clients über HTTPS (TLS) eine Verbindung herstellen, wenn das Zertifikat abläuft.
CAA-Einträge und Roots
Um die Kompatibilität mit Client-Geräten, einschließlich älterer Smart-TVs, Smartphones und Streaming-Boxen, zu prüfen, finden Sie die vollständige Liste der von Google verwendeten Root-CAs unter pki.goog.
Damit Zertifikatmanager und Media CDN Zertifikate für eine Domain mit vorhandenen CAA-Einträgen ausstellen können, fügen Sie den CAA-Eintrag pki.goog hinzu:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Domains, die noch keine CAA-Einträge haben, müssen diesen Eintrag nicht hinzufügen, aber wir empfehlen es als Best Practice.
Weitere Informationen zu CAA-Einträgen.
Fehlerbehebung bei der Ausstellung von Zertifikaten
Die häufigste Ursache für eine fehlgeschlagene Ausstellung (oder Verlängerung) sind ungültige oder fehlende DNS-Einträge, die den Zertifikatmanager daran hindern, den Domain-Inhaberschaft zu prüfen.
- Prüfen Sie, ob der DNS-Eintrag über ein öffentliches DNS erreicht werden kann. Der Wert des CNAME-Eintrags
_acme-challenge(der Unterstrich ist erforderlich) für Ihre Domain sollte den Wert zurückgeben, der indnsResourceRecord.dataangegeben wurde, als Sie die Autorisierung erstellt haben. Mit Google Public DNS können Sie schnell prüfen, ob der Eintrag aufgelöst werden kann und gültig ist. - Achten Sie darauf, dass die Domain, für die Sie Zertifikate anfordern, entweder mit den Berechtigungen, die Sie mit der Zertifikatsanforderung verknüpfen, übereinstimmen oder Subdomains davon sind. Mit einer Autorisierung für
media.example.comkönnen Sie beispielsweise Zertifikate fürmedia.example.com,uk.media.example.comundstaging.media.example.comausstellen, aber nicht fürwww.example.com. - Vorhandene CAA-Einträge in Ihrer Domain verhindern möglicherweise, dass der Zertifikatmanager Zertifikate für Ihre Domain ausstellt. Achten Sie darauf, dass ein CAA-Eintrag für
pki.googvorhanden ist, damit Google Zertifikate für Ihre autorisierten Domains ausstellen kann. Wenn das Problem auf eine CAA-Eintragseinschränkung zurückzuführen ist, enthält das Feldfailure_reasonin der API-Antwort den WertCAA. - Sie können nur Zertifikate mit dem Bereich
EDGE_CACHEan einen Edge-Cache-Dienst anhängen. Wenn Sie beim Erstellen des Zertifikats nicht explizit den BereichEDGE_CACHEangegeben haben, müssen Sie das Zertifikat mit einer vorhandenen DNS-Autorisierung noch einmal ausstellen.
Bei der Erstellung eines Zertifikats mit mehreren Domainnamen verhindert eine ungültige Domainautorisierung die Ausstellung oder Verlängerung des Zertifikats. Dadurch wird sichergestellt, dass alle angeforderten Domains im ausgestellten Zertifikat enthalten sind. Achten Sie darauf, dass der DNS-Eintrag, der Domainname und die CAA-Eintragskonfiguration für jede mit einem Zertifikat verknüpfte Domain gültig sind.
Grund für Fehler
In der folgenden Tabelle werden die Fehlerursachen, die beim Versuch, ein Zertifikat auszustellen, zurückgegeben werden können, sowie deren Ursachen und vorgeschlagene Abhilfemaßnahmen beschrieben:
| Typ | Fehler | Schritte zur Fehlerbehebung |
|---|---|---|
| DNS-Autorisierung | CONFIG | Wir konnten das Zertifikat nicht über DNS validieren. In den meisten Fällen bedeutet dies, dass der DNS-Eintrag fehlt, ungültig ist (falsch kopiert) oder dass Sie versuchen, ein Zertifikat für eine Subdomain auszustellen, die kein untergeordnetes Element der autorisierten Domain ist. |
| DNS-Autorisierung | CAA | Die Ausstellung von Zertifikaten ist durch den aktuellen Satz von [CAA-Einträgen](/media-cdn/docs/ssl-cerificates#caa-records-roots), der mit der Domain verbunden ist, untersagt, oder der CAA-Eintrag wurde gerade erst aktualisiert. |
| DNS-Autorisierung | RATE_LIMITED | (Ungewöhnlich) Sie geben Zertifikate möglicherweise mit einer höheren Geschwindigkeit aus, als sie von der Zertifizierungsstelle oder Domain akzeptiert wird (z. B. Zehn pro Minute oder mehr). |
| Zertifikat | AUTHORIZATION_ISSUE | Die Autorisierung der einzelnen Domain ist fehlgeschlagen. Prüfen Sie den Wert von managed.authorizationAttemptInfo.failureReason für die Domain, um festzustellen, warum die Autorisierung fehlgeschlagen sein könnte. |
Zertifikatlimits
Sie können bis zu 1.000 verwaltete Zertifikate und 1.000 DNS-Autorisierungen pro Projekt ausstellen. Weitere zugehörige Limits und Kontingente finden Sie in der Dokumentation zu Kontingente und Limits.
Unterstützte TLS-Versionen
Media CDN unterstützt die folgenden TLS-Versionen, die der Konfiguration der SSL-Richtlinie COMPATIBLE entsprechen.
| TLS-Version | Unterstützt | Enthaltene Chiffren |
|---|---|---|
| SSL 3.0 | Nein | – (nicht unterstützt) |
| TLS 1.0 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS 1.1 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Außerdem:
- Geräte, die moderne TLS-Versionen (z. B. TLS 1.3) nicht unterstützen, handeln automatisch eine unterstützte TLS-Version aus (sofern keine Mindestversion festgelegt ist).
- TLS 1.0 und TLS 1.1 sind standardmäßig aktiviert, um die größte Gerätekompatibilität zu aktivieren.
- Media CDN unterstützt das Anhängen von SSL-Richtlinien an einen Dienst nicht.
Nächste Schritte
- Lesen Sie SSL-Zertifikate konfigurieren.
- Informieren Sie sich über die Clientkonnektivität und die Protokollunterstützung.
- Prüfen Sie, wie SSL-/TLS-Verbindungen zu Ihren Ursprüngen hergestellt werden.