Sertifikat SSL (TLS)

Media CDN memiliki dukungan terbaik untuk menyajikan enkripsi TLS (HTTPS) traffic dari nama domain Anda sendiri, serta dukungan untuk permintaan yang ditandatangani. Media CDN ditayangkan dari domain Anda (Bring-Your-Own atau BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.

  • Tidak ada biaya tambahan yang terkait dengan penayangan SSL (TLS) traffic atau mendapatkan status terkelola Google sertifikat: melindungi lalu lintas pengguna akhir tidak boleh mahal.
  • Media CDN mendukung kedua sertifikat yang dikelola Google, memungkinkan Google mengelola rotasi, kunci, dan distribusi yang aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
  • Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
  • Setiap sertifikat terkelola dapat memiliki maksimal 100 nama (Alternatif Subjek Nama).

Sebaiknya tayangkan layanan Edge Cache dari nama host (subdomain) dan menggunakan sertifikat terkelola terpisah untuk media Anda domain sebagai praktik keamanan yang baik.

Membuat dan menerbitkan sertifikat

Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke Layanan Media CDN, lihat mengonfigurasi SSL sertifikat.

Jenis sertifikat

Media CDN mendukung dua jenis sertifikat:

  • Sertifikat terkelola, yang dapat disediakan oleh Google atas nama Anda nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat diperpanjang secara otomatis.
  • Sertifikat yang dikelola sendiri, yang Anda upload ke Certificate Manager secara langsung. Anda bertanggung jawab untuk mengupload file yang valid dan tepercaya secara publik sertifikat, serta mengganti sertifikat sebelum kedaluwarsa.

Karena sertifikat terkelola dapat diotorisasi dan diterbitkan sebelum pengarahan di Media CDN, Anda dapat menyediakan sertifikat memotong traffic produksi dan menghindari periode nonaktif.

Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci dalam aplikasi seluler, atau untuk perangkat lama dengan trust store yang sudah tidak berlaku, Anda mungkin perlu yang dikelola sendiri oleh Google. Anda juga dapat menggunakan model pada layanan yang sama jika Anda memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.

Memberikan otorisasi pada penerbitan sertifikat

Jika Anda ingin sertifikat yang dikelola Google siap digunakan sebelum lingkungan production sudah siap sepenuhnya, misalnya sebelum memulai migrasi dari vendor lain ke Google Cloud, Anda dapat menyediakan DNS otorisasi baru. Dalam skenario ini, {i>Certificate Manager<i} menggunakan Validasi berbasis DNS. Setiap otorisasi DNS menyimpan informasi tentang DNS yang perlu Anda siapkan dan mencakup satu domain beserta karakter penggantinya—untuk contoh, myorg.example.com dan *.myorg.example.com.

Saat membuat sertifikat yang dikelola Google, Anda dapat menentukan satu atau beberapa DNS otorisasi yang digunakan untuk penyediaan dan perpanjangan sertifikat tersebut. Jika Anda menggunakan beberapa sertifikat untuk satu domain, Anda dapat menentukan otorisasi DNS yang sama di setiap sertifikat tersebut. Otorisasi DNS Anda harus mencakup semua domain yang disebutkan dalam sertifikat; jika tidak, sertifikat pembuatan dan perpanjangan gagal.

Anda dapat mengelola sertifikat untuk setiap project secara terpisah menggunakan DNS per project otorisasi. Hal ini berarti bahwa Pengelola Sertifikat dapat menerbitkan dan mengelola sertifikat untuk setiap sertifikat project secara mandiri dalam Google Cloud. otorisasi DNS dan sertifikat yang Anda gunakan dalam proyek bersifat mandiri dan tidak berinteraksi dengan yang ada di proyek lain.

Untuk menyiapkan otorisasi DNS, Anda perlu menambahkan data CNAME untuk validasi sub-domain yang disarangkan dalam domain target ke konfigurasi DNS. Kumpulan data CNAME ini mengarah ke domain Google Cloud khusus yang Gunakan Certificate Manager untuk memverifikasi kepemilikan domain. Certificate Manager menampilkan kumpulan data CNAME saat Anda membuat Otorisasi DNS untuk domain target.

Data CNAME juga memberikan izin kepada Certificate Manager izin penyediaan dan perpanjangan sertifikat untuk domain tersebut dalam project Google Cloud target. Untuk mencabut izin ini, hapus CNAME dari konfigurasi DNS Anda.

Untuk mengaktifkan otorisasi DNS per project, pilih PER_PROJECT_RECORD selama proses pembuatan otorisasi DNS. Setelah dipilih, Anda akan menerima Data CNAME yang menyertakan subdomain dan target serta yang disesuaikan dengan menyelesaikan proyek secara spesifik.

Tambahkan data CNAME ke zona DNS domain yang relevan.

Beberapa domain per sertifikat

Sertifikat yang diterbitkan oleh {i>Certificate Manager<i} memungkinkan Anda untuk menentukan beberapa nama domain (nama host) pada sertifikat yang sama dengan Nama Alternatif Subjek.

Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi apa pun yang sesuai yang diperlukan.

Setiap otorisasi hanya mencakup domain yang sama persis (misalnya, video.example.com) dan karakter pengganti (*.example.com). Laporan ini tidak mencakup subdomain eksplisit. Jika Anda menginginkan sertifikat untuk eu.video.example.com, untuk misalnya, Anda harus menyiapkan otorisasi DNS lain untuk eu.video.example.com.

Contoh berikut menunjukkan cara melampirkan otorisasi untuk video.example.com dan eu.video.example.com:

gcloud

Gunakan perintah gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

Tindakan ini akan membuat sertifikat dengan otorisasi DNS di AUTHORIZING status dan sertifikat dalam status PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Domain tidak dapat membagikan otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Pengelola Sertifikat menentukan domain mana yang memerlukan otorisasi.

Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi SSL (TLS) sertifikat.

Perpanjangan sertifikat

Sertifikat terkelola akan diperpanjang secara otomatis oleh Pengelola Sertifikat. Sertifikat yang diperpanjang otomatis dikirim ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.

  • EDGE_CACHE sertifikat memiliki masa berlaku yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan industri saat ini standar 90 hari (dengan interval perpanjangan 60 hari).
  • Perpanjangan sertifikat biasanya dimulai saat masa berlaku sertifikat adalah 10 hari akan habis masa berlakunya.
  • Anda tidak perlu melakukan tindakan apa pun ketika sertifikat diperpanjang; baru sertifikat akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlaku, tanpa memengaruhi traffic live Anda.

Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, memastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk DNS otorisasi. Menghapus data yang digunakan untuk mendemonstrasikan DCV (Kontrol Domain) Validasi) menyebabkan ketidakmampuan untuk memperpanjang sertifikat Anda dan mencegah klien terhubung melalui HTTPS (TLS) saat masa berlaku sertifikat berakhir.

Data dan root CAA

Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV lama, {i>smartphone<i} dan kotak {i>streaming<i}, Anda dapat menemukan rangkaian lengkap CA {i>root<i} yang Google di pki.goog.

Untuk mengizinkan Certificate Manager dan Media CDN untuk sertifikat masalah untuk domain dengan data CAA yang ada, tambahkan pki.goog Data CAA:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Domain yang tidak memiliki data CAA tidak perlu menambahkan data ini, tetapi kami merekomendasikannya sebagai praktik terbaik.

Baca lebih lanjut data CAA.

Batas sertifikat

Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per proyek. Untuk batas dan kuota terkait lainnya, lihat bagian Kuota dan batas waktu .

Versi TLS yang didukung

Media CDN mendukung versi TLS berikut:

Versi TLS Didukung Cipher yang Disertakan
SSL 3.0 Tidak T/A (tidak didukung)
TLS 1.0 Tidak T/A (tidak didukung)
TLS 1.1 Tidak T/A (tidak didukung)
TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Selain itu:

  • Perangkat yang tidak mendukung TLS versi modern (seperti TLS 1.3) otomatis menegosiasikan versi TLS yang didukung.
  • TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
  • Media CDN tidak mendukung pelampiran kebijakan SSL ke suatu layanan.

Memecahkan masalah penerbitan sertifikat

Jika Anda mengalami kesalahan saat menerbitkan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.

Langkah selanjutnya