Certificados SSL (TLS)

Media CDN es compatible con la entrega de encriptación TLS (HTTPS) de primer nivel. tráfico proveniente de tu propio nombre de dominio, así como la compatibilidad solicitudes firmadas. Media CDN se entrega desde tu propio dominio (trae tu propio dominio o Media CDN con tu propio dominio) y no es necesario que se entregue desde un dominio alojado por Google.

  • No hay cargos adicionales asociados con la entrega de tráfico SSL (TLS) o la obtención de certificados administrados por Google: la protección del tráfico del usuario final no debe ser prémium.
  • Media CDN admite certificados administrados por Google, para que Google administre la rotación, las claves y la distribución segura a miles de nodos perimetrales, así como certificados autoadministrados (subidos).
  • Cada servicio puede admitir hasta 5 certificados SSL.
  • Cada certificado administrado puede tener hasta 100 nombres (Subject Alternative Nombres).

Te recomendamos entregar tu servicio de caché perimetral desde nombres de host dedicados (subdominios) y usar certificados administrados independientes para tus dominios de medios, como una buena práctica de seguridad.

Crea y emite certificados

Para validar, emitir y adjuntar un certificado SSL (TLS) administrado a un servicio de Media CDN, consulta cómo configurar certificados SSL.

Tipos de certificados

Media CDN admite dos tipos de certificados:

  • Certificados administrados, que Google puede aprovisionar en tu nombre para los nombres de dominio que posees. No necesitas claves seguras, y los certificados se renuevan automáticamente.
  • Certificados autoadministrados, que se suben al Administrador de certificados directamente. Eres responsable de subir un certificado válido y de confianza pública, así como de reemplazarlo antes de que venza.

Debido a que los certificados administrados se pueden autorizar y emitir antes de dirigir tráfico en Media CDN, puedes aprovisionar certificados antes lo que ayuda a reducir el tráfico de producción y a evitar el tiempo de inactividad.

En algunos casos, como cuando necesitas la fijación de claves en aplicaciones para dispositivos móviles o la compatibilidad con dispositivos heredados con almacenes de confianza desactualizados, es posible que debas usar certificados administrados por el usuario. También puedes usar tanto recursos autoadministrados certificados en el mismo servicio si tienes nombres de dominio específicos (hosts) que requieren certificados autoadministrados.

Autoriza la emisión de certificados

Si deseas que tus certificados administrados por Google estén listos para usarse antes de que tu entorno de producción esté completamente configurado, por ejemplo, antes de iniciar una migración de otro proveedor a Google Cloud, puedes aprovisionarlos con autorizaciones de DNS. En esta situación, el Administrador de certificados usa validación basada en DNS. Cada autorización de DNS almacena información sobre el registro que necesitas configurar y abarca un solo dominio más su comodín, para Por ejemplo, myorg.example.com y *.myorg.example.com.

Cuando creas un certificado administrado por Google, puedes especificar uno o más DNS autorizaciones para usar en el aprovisionamiento y la renovación de ese certificado. Si usan varios certificados para un solo dominio, puedes especificar misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS Debe abarcar todos los dominios especificados en el certificado. De lo contrario, el certificado la creación y las renovaciones fallan.

Puedes administrar los certificados de cada proyecto por separado mediante la autorización de DNS por proyecto. Esto significa que el Administrador de certificados puede emitir y administrar certificados para cada proyecto de forma independiente en Google Cloud. Las autorizaciones y los certificados de DNS que usas en un proyecto son independientes y no interactúan con los de otros proyectos.

Para configurar una autorización de DNS, debes agregar un registro CNAME para un subdominio de validación anidado en tu dominio de destino a la configuración de DNS. Este registro CNAME apunta a un dominio especial de Google Cloud que el Administrador de certificados usa para verificar la propiedad del dominio. El Administrador de certificados muestra el registro CNAME cuando creas una autorización de DNS para el dominio de destino.

El registro CNAME también le otorga al Administrador de certificados el permisos para el aprovisionamiento y la renovación de certificados para ese dominio en el proyecto de Google Cloud de destino. Para revocar estos permisos, quita CNAME. de tu configuración de DNS.

Para habilitar la autorización de DNS por proyecto, selecciona PER_PROJECT_RECORD durante el proceso de creación de la autorización de DNS. Una vez que lo hagas, recibirás un registro CNAME único que incluye el subdominio y el objetivo, y que está personalizado para el proyecto específico.

Agrega el registro CNAME a la zona del DNS del dominio relevante.

Varios dominios por certificado

Los certificados emitidos por el Administrador de certificados te permiten especificar varios nombres de dominio (nombres de host) en el mismo certificado como Nombres alternativos de sujeto.

Para agregar varios dominios a un certificado, especifica una lista de dominios cuando crees un certificado, así como las autorizaciones coincidentes necesarias.

Cada autorización solo abarca el dominio exacto (por ejemplo, video.example.com) y el comodín (*.example.com). No abarca subdominios explícitos. Si quieres un certificado para eu.video.example.com, Por ejemplo, debes configurar otra autorización de DNS para el eu.video.example.com.

En los siguientes ejemplos se muestra cómo adjuntar una autorización a video.example.com y eu.video.example.com:

gcloud

Usa el comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Esto crea un certificado con la autorización de DNS en el estado AUTHORIZING y el certificado en el estado PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Los dominios no pueden compartir una autorización de DNS. Debes especificar varios dominios y autorizaciones. Administrador de certificados determina qué dominios requieren qué autorizaciones.

Para obtener información sobre cómo se emiten y activan los certificados, consulta Configurar SSL (TLS) certificados.

Renovación del certificado

El Administrador de certificados renueva automáticamente los certificados administrados. Los certificados renovados se envían automáticamente al perímetro global de Google por cada servicio activo que configuraste.

  • EDGE_CACHE certificados tienen un período de validez corto (30 días) para mejorar la seguridad y el cumplimiento, en comparación con la industria actual estándar de 90 días (con un intervalo de renovación de 60 días).
  • Por lo general, la renovación del certificado se inicia cuando el certificado es 10 días de vencimiento.
  • No es necesario que realices ninguna acción cuando se renueva un certificado. el nuevo certificado reemplaza automáticamente el certificado existente la fecha de vencimiento sin afectar el tráfico en vivo.

Debido a que la canalización de emisión revalida el control del dominio antes de la renovación, asegúrate de no borrar los registros DNS configurados para autorización. Si borras el registro que se usa para demostrar la DCV (validación del control de dominio), no podrás renovar tus certificados y se impedirá que los clientes se conecten a través de HTTPS (TLS) cuando venza el certificado.

Registros de CAA y raíces

Para verificar la compatibilidad con dispositivos cliente, incluidos los televisores inteligentes, los smartphones y los decodificadores más antiguos, puedes encontrar el conjunto completo de CA raíz que usa Google en pki.goog.

Para permitir que el Administrador de certificados y Media CDN emite certificados para un dominio con registros de CAA existentes, agrega el pki.goog Registro CAA:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Los dominios que no tienen registros de CAA existentes no necesitan agregar este registro, pero te recomendamos que lo hagas.

Obtén más información sobre los registros de CAA.

Límites de certificados

Puedes emitir hasta 1,000 certificados administrados y 1,000 autorizaciones de DNS por en un proyecto final. Para conocer otros límites y cuotas, consulta la documentación Cuotas y límites.

Versiones de TLS compatibles

Media CDN admite las siguientes versiones de TLS:

Versión de TLS Se admite Algoritmos de cifrado incluidos
SSL 3.0 No N/A: No admitido
TLS 1.0 No N/A: No admitido
TLS 1.1 No N/A: No admitido
TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Tenga en cuenta estos datos:

  • Dispositivos que no admiten las versiones modernas de TLS (como TLS 1.3) negociar automáticamente una versión de TLS compatible.
  • TLS 1.2 es la versión mínima compatible de TLS para Media CDN.
  • Media CDN no admite adjuntar políticas de SSL a un servicio.

Solucionar problemas relacionados con la emisión de certificados

Si tienes algún error con la emisión de certificados, consulta cómo solucionar problemas de emisión de certificados.

¿Qué sigue?