SSL (TLS) 证书

Media CDN 对通过您自己的网域名传送 TLS 加密 (HTTPS) 流量提供一流支持,同时也支持签名请求。Media CDN 是从您自己的网域(自带或 BYO 网域)提供的,无需从 Google 托管的网域提供。

  • 传送 SSL (TLS) 流量或获取 Google 管理的证书无需支付额外费用:保护最终用户流量不应需要额外付费。
  • Media CDN 支持 Google 管理的证书,让 Google 能够管理轮替、密钥和向数千个边缘节点安全分发证书,同时也支持自行管理(上传)的证书。
  • 每项服务最多可以支持 5 个 SSL 证书。
  • 每个受管证书最多可以有 100 个名称(正文替代名称)。

作为良好的安全做法,我们建议您通过专用主机名(子网域)提供边缘缓存服务,并为媒体网域使用单独的托管证书。

创建和颁发证书

如需验证、颁发托管式 SSL (TLS) 证书并将其附加到 Media CDN 服务,请参阅配置 SSL 证书

证书类型

Media CDN 支持两种类型的证书:

  • 由 Google 管理的证书:Google 可以代表您为您拥有的域名预配证书。您无需安全密钥,证书会自动续订。
  • 自行管理的证书,您可以直接将其上传到 Certificate Manager。您有责任上传有效且受公众信任的证书,并在证书到期之前替换证书。

由于在将流量定向到 Media CDN 之前,您可以授权和颁发受管理的证书,因此您可以在切换正式版流量之前预配证书,从而避免服务中断。

在某些情况下(例如,您需要在移动应用中进行密钥固定,或者需要支持具有过时信任存储区的旧版设备),您可能需要使用自行管理的证书。如果您有需要自行管理证书的特定域名(主机),还可以在同一服务中同时使用由 Google 管理的证书和自行管理的证书。

授权颁发证书

借助 DNS 授权,您无需等到生产环境完全设置完毕,即可验证域名所有权并预配 Google 管理的证书。在将证书迁移到 Google Cloud 时,此功能尤为有用。

证书管理工具会通过 DNS 记录验证域名所有权。每项 DNS 授权都会存储 DNS 记录的相关信息,并涵盖单个网域及其通配符(例如 myorg.example.com*.myorg.example.com)。

创建 Google 管理的证书时,您可以使用一个或多个 DNS 授权来预配和续订证书。如果您为单个网域拥有多个证书,则可以为所有证书使用相同的 DNS 授权。不过,您的 DNS 授权必须涵盖证书中列出的所有网域;如果不涵盖,则创建和续订证书将会失败。

如需设置 DNS 授权,您必须将 CNAME 记录添加到 DNS 配置中。此记录用于验证目标网域下的子网域。CNAME 记录指向一个特殊的 Google Cloud 网域,Certificate Manager 会使用该网域来验证您的域名所有权。创建 DNS 授权后,证书管理器会返回此 CNAME 记录并验证您的所有权。

请注意,CNAME 记录还会授予证书管理器在您的 Google Cloud 项目中为目标网域预配和续订证书的权限。如需撤消这些权限,请从 DNS 配置中移除 CNAME 记录。

按项目授予 DNS 授权

借助按项目授予 DNS 授权,您可以在每个 Google Cloud 项目中独立管理证书。使用按项目 DNS 授权,证书管理器可以为每个项目单独颁发和处理证书。项目中使用的 DNS 授权和证书是自包含的,不会与其他项目的工件互动。

如需启用按项目授予 DNS 授权,请在创建 DNS 授权时选择 PER_PROJECT_RECORD 选项。然后,您会收到一个唯一的 CNAME 记录,其中包含特定于该项目的子网域和目标。此 CNAME 记录应添加到相关网域的 DNS 区域中。

每个证书支持的网域数

使用证书管理器签发的证书时,您可以在同一证书中将多个域名(主机名)指定为主题备用名称

您可以在创建证书时指定域名列表以及所需的任何匹配授权,以便向证书添加多个网域。

每项授权仅涵盖确切网域(例如 video.example.com)和通配符网域(*.example.com),而不涵盖任何显式子网域。例如,如果您想为 eu.video.example.com 获取证书,则必须为 eu.video.example.com 网域设置另一个 DNS 授权。

以下示例展示了如何为 video.example.comeu.video.example.com 附加授权:

gcloud

使用 gcloud certificate-manager certificates 命令:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

这会创建一个证书,其中 DNS 授权处于 AUTHORIZING 状态,证书处于 PROVISIONING 状态:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

网域无法共享 DNS 授权。您必须指定多个网域和授权。证书管理器会确定哪些网域需要哪些授权。

如需了解如何颁发和激活证书,请参阅配置 SSL (TLS) 证书

证书续期

由 Certificate Manager 自动续订的证书。 系统会自动将续订的证书推送到您配置的每项有效服务的 Google 全球边缘。

  • 与当前的业界标准 90 天(续订间隔为 60 天)相比,EDGE_CACHE 证书的有效期较短(30 天),以提高安全性和合规性。
  • 证书续订通常会在证书到期前 10 天启动。
  • 您无需在证书续订时采取任何措施;新证书会在到期日期之前自动替换现有证书,对您的实时流量没有任何影响。

由于签发流水线会在续订前重新验证域名控制权,因此请确保您不会删除为 DNS 授权配置的 DNS 记录。删除用于证明 DCV(域名控制验证)的记录会导致无法续订证书,并会阻止客户端在证书过期时通过 HTTPS (TLS) 连接。

CAA 记录和根 CA

如需检查与客户端设备(包括旧版智能电视、智能手机和流媒体盒)的兼容性,您可以访问 pki.goog,查看 Google 使用的一整套根 CA。

如需允许证书管理器和媒体 CDN 为具有现有 CAA 记录的网域颁发证书,请添加 pki.goog CAA 记录:

DOMAIN_NAME. CAA 0 issue "pki.goog"

没有现有 CAA 记录的网域无需添加此记录,但我们建议您遵循这一最佳实践。

详细了解 CAA 记录

证书限制

每个项目最多可以颁发 1,000 个受管理证书和 1,000 项 DNS 授权。如需了解其他相关限制和配额,请参阅配额和限制文档。

支持的 TLS 版本

媒体 CDN 支持以下 TLS 版本:

TLS 版本 支持 包含的密码
SSL 3.0 不适用(不受支持)
TLS 1.0 不适用(不受支持)
TLS 1.1 不适用(不受支持)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256、 TLS_AES_256_GCM_SHA384、 TLS_CHACHA20_POLY1305_SHA256

此外:

  • 不支持新型 TLS 版本(例如 TLS 1.3)的设备会自动协商支持的 TLS 版本。
  • TLS 1.2 是 Media CDN 支持的最低 TLS 版本。
  • 媒体 CDN 不支持将 SSL 政策附加到服务。

排查证书颁发问题

如果您在颁发证书时遇到任何错误,请参阅如何排查证书颁发问题

后续步骤