SSL/TLS-Zertifikate

Media CDN bietet erstklassige Unterstützung für die Bereitstellung von TLS-verschlüsseltem Traffic (HTTPS) von Ihrem eigenen Domainnamen sowie Unterstützung für signierte Anfragen. Media CDN wird von Ihrer eigenen Domain (Bring-Your-Own- oder BYO-Domain) bereitgestellt und muss nicht über eine von Google gehostete Domain bereitgestellt werden.

  • Für die Bereitstellung von SSL/TLS-Traffic oder das Abrufen von Google-verwalteten Zertifikaten fallen keine zusätzlichen Gebühren an: Der Schutz des Endnutzer-Traffics sollte nicht zu einem Aufpreis führen.
  • Media CDN unterstützt sowohl von Google verwaltete Zertifikate, mit denen Google die Rotation, die Schlüssel und die sichere Verteilung an Tausende von Edge-Knoten verwalten kann, als auch selbst verwaltete (hochgeladene) Zertifikate.
  • Jeder Dienst kann bis zu fünf SSL-Zertifikate unterstützen.
  • Jedes verwaltete Zertifikat kann bis zu 100 Namen haben (Alternative Antragstellernamen).

Wir empfehlen, den Edge Cache-Dienst über dedizierte Hostnamen (Subdomains) bereitzustellen und separate verwaltete Zertifikate für Ihre Mediendomains zu verwenden.

Zertifikate erstellen und ausstellen

Informationen zum Validieren, Ausstellen und Anhängen eines verwalteten SSL/TLS-Zertifikats an einen Media CDN-Dienst finden Sie unter SSL-Zertifikate konfigurieren.

Zertifikat-Typen

Media CDN unterstützt zwei Arten von Zertifikaten:

  • Verwaltete Zertifikate, die Google in Ihrem Namen für Domainnamen bereitstellen kann. Sie benötigen keine Sicherheitsschlüssel und Zertifikate werden automatisch verlängert.
  • Selbstverwaltete Zertifikate, die Sie direkt in den Zertifikatmanager hochladen. Sie sind dafür verantwortlich, ein gültiges, öffentlich vertrauenswürdiges Zertifikat hochzuladen und das Zertifikat vor Ablauf zu ersetzen.

Da verwaltete Zertifikate vor der Weiterleitung des Traffics an Media CDN autorisiert und ausgestellt werden können, können Sie Zertifikate bereitstellen, bevor Sie Ihren Produktionstraffic umstellen, und Ausfallzeiten vermeiden.

In einigen Fällen, z. B. wenn Sie Key-Pinning in mobilen Anwendungen oder Unterstützung für ältere Geräte mit veralteten Trust Stores benötigen, müssen Sie möglicherweise selbstverwaltete Zertifikate verwenden. Sie können auch sowohl verwaltete als auch selbstverwaltete Zertifikate für denselben Dienst verwenden, wenn Sie bestimmte Domainnamen (Hosts) haben, die selbstverwaltete Zertifikate erfordern.

Zertifikatsausstellung autorisieren

Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.

Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Wenn Sie mehrere Zertifikate für eine einzelne Domain verwenden, können Sie in jedem dieser Zertifikate dieselbe DNS-Autorisierung angeben. Ihre DNS-Autorisierungen müssen alle im Zertifikat angegebenen Domains abdecken, andernfalls schlägt die Erstellung und Erneuerung des Zertifikats fehl.

Sie können Zertifikate für jedes Projekt separat verwalten, indem Sie das projektspezifische DNS verwenden Autorisierung. Das bedeutet, dass Certificate Manager Zertifikate für jedes Projekt unabhängig in Google Cloud ausstellen und verwalten kann. DNS-Autorisierungen und Zertifikate, die Sie in einem Projekt verwenden, sind eigenständig und interagieren nicht anderen Projekten zusammenarbeiten.

Zum Einrichten einer DNS-Autorisierung müssen Sie einen CNAME-Eintrag für eine Validierungs-Subdomain, die unter Ihrer Zieldomain Ihrer DNS-Konfiguration verschachtelt ist. Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird. Certificate Manager gibt den CNAME-Eintrag zurück, wenn Sie eine DNS-Autorisierung für die Zieldomain erstellen.

Der CNAME-Eintrag gewährt auch Certificate Manager-Berechtigungen für die Bereitstellung und Verlängerung von Zertifikaten für diese Domain innerhalb des Google Cloud-Zielprojekts. Wenn Sie diese Berechtigungen widerrufen möchten, entfernen Sie die CNAME aus Ihrer DNS-Konfiguration.

Wenn Sie eine projektspezifische DNS-Autorisierung aktivieren möchten, wählen Sie beim Erstellen der DNS-Autorisierung die PER_PROJECT_RECORD aus. Nach der Auswahl erhalten Sie einen eindeutigen CNAME-Eintrag, der sowohl die Subdomain als auch das Ziel enthält und auf das jeweilige Projekt zugeschnitten ist.

Fügen Sie der DNS-Zone der entsprechenden Domain den CNAME-Eintrag hinzu.

Mehrere Domains pro Zertifikat

Mit den vom Certificate Manager ausgestellten Zertifikaten können Sie mehrere Domainnamen (Hostnamen) auf demselben Zertifikat wie Alternative Antragstellernamen.

Sie können einem Zertifikat mehrere Domains hinzufügen. Geben Sie dazu beim Erstellen des Zertifikats eine Liste der Domains sowie alle erforderlichen Autorisierungen an.

Jede Autorisierung deckt nur die genaue Domain (z. B. video.example.com) und den Platzhalter (*.example.com) ab. Es werden keine expliziten Subdomains abgedeckt. Wenn Sie beispielsweise ein Zertifikat für eu.video.example.com verwenden möchten, müssen Sie eine weitere DNS-Autorisierung für die Domain eu.video.example.com einrichten.

Die folgenden Beispiele zeigen, wie Sie eine Autorisierung für video.example.com und eu.video.example.com anhängen:

gcloud

Führen Sie den Befehl gcloud certificate-manager certificates aus:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Dadurch wird ein Zertifikat mit der DNS-Autorisierung im Status AUTHORIZING und das Zertifikat im Status PROVISIONING erstellt:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Domains können keine DNS-Autorisierung freigeben. Sie müssen mehrere Domains und Autorisierungen angeben. Certificate Manager ermittelt, welche Domains welche Autorisierungen erfordern.

Informationen zum Ausstellen und Aktivieren von Zertifikaten finden Sie unter SSL-Zertifikate konfigurieren.

Zertifikatverlängerung

Verwaltete Zertifikate werden automatisch von Certificate Manager verlängert. Verlängerte Zertifikate werden automatisch für jeden aktiven Dienst, den Sie konfiguriert haben, an das globale Edge-Netzwerk von Google übertragen.

  • EDGE_CACHE-Zertifikate haben eine kurze Gültigkeitsdauer (30 Tage), um die Sicherheit und Compliance zu verbessern, im Vergleich zum aktuellen Industriestandard von 90 Tagen (mit einem Verlängerungsintervall von 60 Tagen).
  • Die Verlängerung des Zertifikats wird normalerweise gestartet, wenn das Zertifikat 10 Tage nach Ablauf abläuft.
  • Sie müssen nichts unternehmen, wenn ein Zertifikat verlängert wird. Das neue Zertifikat ersetzt das vorhandene Zertifikat automatisch vor dem Ablaufdatum, ohne Auswirkungen auf den Live-Traffic.

Da die Ausstellungspipeline die Domainsteuerung vor der Verlängerung neu validiert, müssen Sie darauf achten, dass Sie die für die DNS-Autorisierung konfigurierten DNS-Einträge nicht löschen. Wenn Sie den Eintrag zum Demonstrieren der DCV (Domain Control Validation – Validierung der Bereichskontrolle) löschen, können Ihre Zertifikate nicht verlängert werden und es wird verhindert, dass Clients über HTTPS (TLS) eine Verbindung herstellen, wenn das Zertifikat abläuft.

CAA-Einträge und Roots

Um die Kompatibilität mit Client-Geräten, einschließlich älterer Smart-TVs, Smartphones und Streaming-Boxen, zu prüfen, finden Sie die vollständige Liste der von Google verwendeten Root-CAs unter pki.goog.

Zertifikatmanager und Media CDN dürfen Zertifikate für eine Domain mit vorhandenen CAA-Einträgen ausstellen, fügen Sie den pki.goog hinzu CAA-Eintrag:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Domains, die noch keine CAA-Einträge haben, müssen diesen Eintrag nicht hinzufügen, aber wir empfehlen es als Best Practice.

Weitere Informationen zu CAA-Einträgen.

Zertifikatlimits

Sie können bis zu 1.000 verwaltete Zertifikate und 1.000 DNS-Autorisierungen pro Projekt ausstellen. Weitere zugehörige Limits und Kontingente finden Sie in der Dokumentation zu Kontingente und Limits.

Unterstützte TLS-Versionen

Media CDN unterstützt die folgenden TLS-Versionen:

TLS-Version Unterstützt Enthaltene Chiffren
SSL 3.0 Nein – (nicht unterstützt)
TLS 1.0 Nein – (nicht unterstützt)
TLS 1.1 Nein – (nicht unterstützt)
TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Außerdem:

  • Geräte, die keine modernen Versionen von TLS unterstützen (z. B. TLS 1.3) automatisch eine unterstützte TLS-Version aushandeln.
  • TLS 1.2 ist die unterstützte Mindestversion für TLS bei Media CDN.
  • Media CDN unterstützt das Anhängen von SSL-Richtlinien an einen Dienst nicht.

Fehlerbehebung bei der Ausstellung von Zertifikaten

Wenn bei der Ausstellung von Zertifikaten Fehler auftreten, lesen Sie den Hilfeartikel Fehler bei der Ausstellung von Zertifikaten beheben.

Nächste Schritte