Media CDN es compatible con la entrega de encriptación TLS (HTTPS) de primer nivel. tráfico proveniente de tu propio nombre de dominio, así como la compatibilidad solicitudes firmadas. Media CDN se entrega desde tu propio dominio (Bring-Your-Own o dominio BYO), y no es necesario que se entregue desde un dominio alojado en Google.
- No hay cargos adicionales asociados con la entrega de tráfico SSL (TLS) o la obtención de certificados administrados por Google: la protección del tráfico del usuario final no debe ser prémium.
- Media CDN admite certificados administrados por Google, para que Google administre la rotación, las claves y la distribución segura a miles de nodos perimetrales, así como certificados autoadministrados (subidos).
- Cada servicio puede admitir hasta 5 certificados SSL.
- Cada certificado administrado puede tener hasta 100 nombres (Subject Alternative Nombres).
Te recomendamos entregar tu servicio de caché perimetral desde nombres de host dedicados (subdominios) y usar certificados administrados independientes para tus dominios de medios, como una buena práctica de seguridad.
Crea y emite certificados
Para validar, emitir y adjuntar un certificado SSL (TLS) administrado a un Servicio Media CDN, consulta cómo configurar SSL certificados.
Tipos de certificados
Media CDN admite dos tipos de certificados:
- Certificados administrados, que Google puede aprovisionar en tu nombre para tus nombres de dominio. No necesitas claves de seguridad y los certificados se renovarse automáticamente.
- Certificados autoadministrados, que se suben al Administrador de certificados directamente. Es tu responsabilidad subir un archivo válido certificado, y reemplazarlo antes de su vencimiento.
Debido a que los certificados administrados se pueden autorizar y emitir antes de dirigir tráfico en Media CDN, puedes aprovisionar certificados antes lo que ayuda a reducir el tráfico de producción y a evitar el tiempo de inactividad.
En algunos casos, como cuando necesitas fijar teclas en aplicaciones móviles compatibilidad con dispositivos heredados con tiendas de confianza desactualizadas, quizás debas usar certificados autoadministrados. También puedes usar tanto recursos autoadministrados certificados en el mismo servicio si tienes nombres de dominio específicos (hosts) que requieren certificados autoadministrados.
Autoriza la emisión de certificados
Si quieres que tus certificados administrados por Google estén listos para usarse antes de que
entorno de producción estén completamente configurados, como antes de iniciar una migración
otro proveedor a Google Cloud, puedes aprovisionarle
autorizaciones. En esta situación, el Administrador de certificados usa
validación basada en DNS. Cada autorización de DNS almacena información sobre el
registro que necesitas configurar y abarca un solo dominio más su comodín, para
Por ejemplo, myorg.example.com y *.myorg.example.com.
Cuando creas un certificado administrado por Google, puedes especificar uno o más DNS autorizaciones para usar en el aprovisionamiento y la renovación de ese certificado. Si usan varios certificados para un solo dominio, puedes especificar misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS Debe abarcar todos los dominios especificados en el certificado. De lo contrario, la creación y las renovaciones fallan.
Puedes administrar certificados para cada proyecto por separado con DNS por proyecto autorización (Vista previa). Esto significa que El Administrador de certificados puede emitir y administrar certificados para cada uno de forma independiente dentro de Google Cloud. las autorizaciones de DNS y los certificados que usas en un proyecto son independientes y no interactúan con los de otros proyectos.
Para configurar una autorización de DNS, debes agregar un registro CNAME para un
subdominio de validación anidado en tu dominio de destino para tu configuración de DNS.
Este registro CNAME apunta a un dominio especial de Google Cloud que
El Administrador de certificados usa para verificar la propiedad del dominio.
El Administrador de certificados devuelve el registro CNAME cuando creas una
Autorización de DNS para el dominio de destino.
El registro CNAME también le otorga al Administrador de certificados el
permisos para el aprovisionamiento y la renovación de certificados para ese dominio en
el proyecto de Google Cloud de destino. Para revocar estos permisos, quita CNAME.
de tu configuración de DNS.
Para habilitar la autorización de DNS por proyecto, selecciona PER_PROJECT_RECORD durante
el proceso de creación de autorización de DNS. Luego de la selección, recibirás una
CNAME que incluye el subdominio y el destino, y que se adapta a
el proyecto específico.
Agrega el registro CNAME a la zona de DNS del dominio relevante.
Varios dominios por certificado
Los certificados emitidos por el Administrador de certificados te permiten especificar varios nombres de dominio (nombres de host) en el mismo certificado que Nombres Alternativos de la Asunto.
Puedes agregar varios dominios a un certificado si especificas una lista de dominios. cuando crees un certificado, así como cualquier autorización correspondiente requerida.
Cada autorización solo abarca el dominio exacto (por ejemplo,
video.example.com) y el comodín (*.example.com). No abarca
subdominios explícitos. Si quieres un certificado para eu.video.example.com,
Por ejemplo, debes configurar otra autorización de DNS para el
eu.video.example.com.
En los siguientes ejemplos se muestra cómo adjuntar una autorización a
video.example.com y eu.video.example.com:
gcloud
Usa el comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Se creará un certificado con la autorización de DNS en el archivo AUTHORIZING.
y el certificado con el estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Los dominios no pueden compartir una autorización de DNS. Debes especificar varias dominios y autorizaciones. Administrador de certificados determina qué dominios requieren qué autorizaciones.
Para obtener información sobre cómo se emiten y activan los certificados, consulta Configurar SSL (TLS) certificados.
Renovación del certificado
El Administrador de certificados renueva automáticamente los certificados administrados. Los certificados renovados se envían automáticamente al perímetro global de Google por cada servicio activo que configuraste.
EDGE_CACHEcertificados tienen un período de validez corto (30 días) para mejorar la seguridad y el cumplimiento, en comparación con la industria actual estándar de 90 días (con un intervalo de renovación de 60 días).- Por lo general, la renovación del certificado se inicia cuando el certificado es 10 días de vencimiento.
- No es necesario que realices ninguna acción cuando se renueva un certificado. el nuevo certificado reemplaza automáticamente el certificado existente la fecha de vencimiento sin afectar el tráfico en vivo.
Debido a que la canalización de emisión revalida el control del dominio antes de la renovación, asegúrate de no borrar los registros DNS configurados para autorización. Borrar el registro que se usa para demostrar el DCV (Control de dominio) validación) provoca la imposibilidad de renovar los certificados y impide que los clientes se conecten a través de HTTPS (TLS) cuando vence el certificado.
Registros de CAA y raíces
Para verificar la compatibilidad con dispositivos cliente, incluidos los televisores inteligentes, los smartphones y los decodificadores más antiguos, puedes encontrar el conjunto completo de CA raíz que usa Google en pki.goog.
Para permitir que el Administrador de certificados y Media CDN
emite certificados para un dominio con registros de CAA existentes, agrega el pki.goog
Registro CAA:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Los dominios que no tienen registros de CAA existentes no necesitan agregar este registro. pero sugerimos que lo haga como una práctica recomendada.
Obtén más información sobre los registros de CAA.
Límites de certificados
Puedes emitir hasta 1,000 certificados administrados y 1,000 autorizaciones de DNS por en un proyecto final. Para conocer otros límites y cuotas, consulta la documentación Cuotas y límites.
Versiones de TLS compatibles
Media CDN admite las siguientes versiones de TLS:
| Versión de TLS | Se admite | Algoritmos de cifrado incluidos |
|---|---|---|
| SSL 3.0 | No | N/A: No admitido |
| TLS 1.0 | No | N/A: No admitido |
| TLS 1.1 | No | N/A: No admitido |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Tenga en cuenta estos datos:
- Dispositivos que no admiten las versiones modernas de TLS (como TLS 1.3) negociar automáticamente una versión de TLS compatible.
- TLS 1.2 es la versión mínima compatible de TLS para Media CDN.
- Media CDN no admite adjuntar políticas de SSL a un servicio.
Solucionar problemas relacionados con la emisión de certificados
Si encuentras algún error en la emisión de certificados, consulta cómo soluciona problemas de emisión de certificados.
¿Qué sigue?
- Consulta Configurar certificados SSL.
- Comprende la conectividad del cliente y compatibilidad con los protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.