O Media CDN tem suporte de primeira classe para veiculação criptografada por TLS (HTTPS) tráfego do seu próprio nome de domínio, bem como suporte para solicitações assinadas. O Media CDN é veiculado a partir do seu próprio domínio (Traga seu próprio ou domínio BYO) e não precisa ser veiculado a partir de um domínio hospedado pelo Google.
- Não há cobranças adicionais associadas à veiculação do SSL (TLS) ou receber tráfego gerenciado pelo Google A proteção do tráfego de usuários finais não deve ser algo exorbitante.
- O Media CDN oferece suporte a certificados gerenciados pelo Google, permitindo que o Google gerencie a rotação, as chaves e a distribuição segura milhares de nós de borda, bem como certificados autogerenciados (enviados por upload).
- Cada serviço é compatível com até cinco certificados SSL.
- Cada certificado gerenciado pode ter até 100 nomes (alternativa do assunto) nomes).
Recomendamos disponibilizar seu serviço de armazenamento em cache de borda nomes de host (subdomínios) e o uso de certificados gerenciados separados para sua mídia domínios do Google Cloud como uma boa prática de segurança.
Criar e emitir certificados
Para validar, emitir e anexar um certificado SSL (TLS) gerenciado a um Media CDN, consulte Como configurar o SSL do Google Cloud.
Tipos de certificado
O Media CDN é compatível com dois tipos de certificados:
- Certificados gerenciados, que o Google pode provisionar em seu nome. nomes de domínio que você possui. Você não precisa de chaves seguras, e os certificados renovado automaticamente.
- Certificados autogerenciados, que podem ser enviados por upload para o Gerenciador de certificados. diretamente. Você é responsável por fazer o upload de uma imagem válida, certificado, bem como substituí-lo antes da expiração.
Como os certificados gerenciados podem ser autorizados e emitidos antes de no Media CDN, é possível provisionar certificados o corte do tráfego de produção e evite inatividade.
Em alguns casos, como quando é necessário fixar teclas em aplicativos para dispositivos móveis ou para dispositivos legados com repositórios de confiança desatualizados, pode ser necessário usar e autogerenciados. Também é possível usar bancos de dados gerenciados certificados no mesmo serviço se você tiver nomes de domínio (hosts) específicos que exigem certificados autogerenciados.
Autorização da emissão de certificados
Se você quiser que os certificados gerenciados pelo Google estejam prontos para uso antes da
ambiente de produção está totalmente configurado, como antes de iniciar uma migração do
outro fornecedor para o Google Cloud, é possível provisioná-los com DNS
de autorização. Nesse cenário, o Gerenciador de certificados usa
Validação baseada em DNS. Cada autorização de DNS armazena informações sobre
que você precisa configurar e abrange um único domínio mais seu caractere curinga, por
exemplo, myorg.example.com e *.myorg.example.com.
Ao criar um certificado gerenciado pelo Google, é possível especificar um ou mais autorizações para provisionamento e renovação desse certificado. Se você usam vários certificados para um único domínio, é possível especificar o mesma autorização de DNS em cada um desses certificados. Suas autorizações de DNS precisa abranger todos os domínios especificados no certificado; caso contrário, o certificado falha na criação e renovações.
É possível gerenciar os certificados de cada projeto separadamente usando o DNS por projeto. autorização (Pré-lançamento). Isso significa que O Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. Autorizações de DNS e os certificados usados em um projeto são autônomos e não interagem com aqueles em outros projetos.
A configuração de uma autorização de DNS exige que você adicione um registro CNAME para um
subdomínio de validação aninhado no domínio de destino para sua configuração de DNS.
Esse registro CNAME aponta para um domínio especial do Google Cloud que
O Gerenciador de certificados usa para verificar a propriedade do domínio.
O Gerenciador de certificados retorna o registro CNAME quando você cria uma
Autorização de DNS para o domínio de destino.
O registro CNAME também concede ao Gerenciador de certificados o
permissões para provisionamento e renovação de certificados para o domínio em questão
no projeto de destino do Google Cloud. Para revogar essas permissões, remova CNAME
da sua configuração do DNS.
Para ativar a autorização de DNS por projeto, selecione o PER_PROJECT_RECORD durante
o processo de criação da autorização de DNS. Após a seleção, você recebe um
registro CNAME que inclui subdomínio e destino e é personalizado para
o projeto específico.
Adicione o registro CNAME à zona de DNS do domínio relevante.
Vários domínios por certificado
Certificados emitidos pelo Gerenciador de certificados permitem que você especifique vários nomes de domínio (nomes de host) no mesmo certificado que Nomes alternativos do assunto.
É possível adicionar vários domínios a um certificado especificando uma lista de domínios ao criar um certificado, bem como todas as autorizações correspondentes necessárias.
Cada autorização abrange apenas o domínio exato (por exemplo,
video.example.com) e o caractere curinga (*.example.com). Ele não abrange nenhum
subdomínios explícitos. Se você quiser um certificado para eu.video.example.com, por
exemplo, é necessário configurar outra autorização de DNS para o
eu.video.example.com.
Os exemplos a seguir mostram como anexar uma autorização para
video.example.com e eu.video.example.com:
gcloud
Use o comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Isso cria um certificado com a autorização de DNS no AUTHORIZING
e o certificado no estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Os domínios não podem compartilhar uma autorização de DNS. Você deve especificar várias domínios e autorizações. Gerenciador de certificados determina quais domínios exigem quais autorizações.
Para saber como os certificados são emitidos e ativados, consulte Configurar o SSL (TLS) do Google Cloud.
Renovação de certificado
Os certificados gerenciados são renovados automaticamente pelo Gerenciador de certificados. Certificados renovados são enviados automaticamente para a borda global do Google a cada serviço ativo que você configurou.
EDGE_CACHEcertificados têm um período de validade curto (30 dias) para melhorar a segurança e o compliance, em comparação com o setor atual padrão de 90 dias (com um intervalo de renovação de 60 dias).- A renovação do certificado normalmente é iniciada quando o certificado tem a versão 10 dias após o vencimento.
- Você não precisa fazer nada quando um certificado for renovado. o novo certificado substitui automaticamente o atual antes a data de validade, sem impacto no tráfego em tempo real.
Como o pipeline de emissão revalida o controle do domínio antes da renovação, não exclua os registros DNS configurados para autorização. Excluir o registro usado para demonstrar o controle de domínio (DCV, na sigla em inglês) Validação) impede a renovação dos certificados. impede que os clientes se conectem por HTTPS (TLS) quando o certificado expira.
Registros CAA e raízes
Para verificar a compatibilidade com dispositivos clientes, incluindo smart TVs mais antigas, smartphones e caixas de streaming, é possível encontrar o conjunto completo de CAs raiz que O Google usa em pki.goog.
Para permitir que o Gerenciador de certificados e o Media CDN
emitir certificados para um domínio com registros CAA existentes, adicione o pki.goog
Registro CAA:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Os domínios que não têm registros CAA não precisam adicionar esse registro. mas é uma prática recomendada.
Leia mais sobre os registros CAA.
Limites de certificados
Você pode emitir até 1.000 certificados gerenciados e 1.000 autorizações de DNS por projeto. Para outros limites e cotas relacionados, consulte a página Cotas e de código aberto .
Versões de TLS compatíveis
O Media CDN é compatível com as seguintes versões do TLS:
| Versão do TLS | Compatível | Criptografias incluídas |
|---|---|---|
| SSL 3,0 | Não | N/A (incompatível) |
| TLS 1.0 | Não | N/A (incompatível) |
| TLS 1.1 | Não | N/A (incompatível) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Além disso:
- Dispositivos incompatíveis com as versões modernas do TLS (como o TLS 1.3) negociam automaticamente uma versão TLS com suporte.
- O TLS 1.2 é a versão de TLS mínima compatível com o Media CDN.
- O Media CDN não aceita anexar políticas de SSL a um serviço.
Resolver problemas de emissão de certificados
Se você enfrentar erros na emissão de certificados, saiba como Resolver problemas na emissão de certificados.
A seguir
- Leia Configurar certificados SSL.
- Entenda a conectividade do cliente e suporte ao protocolo.
- Analise como as conexões SSL (TLS) são feitas às suas origens.