Media CDN offre un supporto di primo livello per la gestione del traffico criptato con TLS (HTTPS) dal tuo nome di dominio, nonché per il supporto per le richieste firmate. Media CDN viene pubblicato dal tuo dominio (Bring-Your-Own o BYO) e non deve essere pubblicato da un dominio ospitato da Google.
- Non sono previsti costi aggiuntivi associati alla gestione del traffico SSL (TLS) o all'ottenimento di certificati gestiti da Google: la protezione del traffico degli utenti finali non dovrebbe avere una tariffa premium.
- Media CDN supporta sia i certificati gestiti da Google, consentendo a Google di gestire la rotazione, le chiavi e la distribuzione sicura su migliaia di nodi perimetrali, oltre ai certificati autogestiti (caricati).
- Ciascun servizio può supportare fino a 5 certificati SSL.
- Ogni certificato gestito può avere fino a 100 nomi (nomi del soggetto alternativi).
Come buona prassi di sicurezza, ti consigliamo di gestire il servizio di cache perimetrale da nomi host dedicati (sottodomini) e di utilizzare certificati gestiti separati per i tuoi domini multimediali.
Creare ed emettere certificati
Per convalidare, emettere e collegare un certificato SSL gestito (TLS) a un servizio Media CDN, consulta la pagina sulla configurazione dei certificati SSL.
Tipi di certificato
Media CDN supporta due tipi di certificati:
- Certificati gestiti, di cui Google può eseguire il provisioning per tuo conto per i nomi di dominio di tua proprietà. Non hai bisogno di chiavi di sicurezza e i certificati vengono rinnovati automaticamente.
- Certificati autogestiti, che carichi direttamente in Gestore certificati. È tua responsabilità caricare un certificato valido e pubblicamente attendibile, nonché sostituire il certificato prima della scadenza.
Poiché i certificati gestiti possono essere autorizzati ed emessi prima di indirizzare il traffico su Media CDN, puoi eseguire il provisioning dei certificati prima di eliminare il traffico di produzione ed evitare tempi di inattività.
In alcuni casi, ad esempio se hai bisogno del blocco delle chiavi nelle app mobile o di assistenza per dispositivi legacy con archivi di attendibilità obsoleti, potrebbe essere necessario utilizzare certificati autogestiti. Puoi anche utilizzare certificati gestiti e autogestiti nello stesso servizio se hai nomi di dominio (host) specifici che richiedono certificati autogestiti.
Autorizzazione del rilascio dei certificati
Se vuoi che i certificati gestiti da Google siano pronti per l'uso prima che il tuo ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione da un altro fornitore a Google Cloud, puoi eseguirne il provisioning con autorizzazioni DNS. In questo scenario, Gestore certificati usa
la convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul record DNS che devi configurare e copre un singolo dominio più il relativo carattere jolly, ad esempio myorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare una o più autorizzazioni DNS da utilizzare per il provisioning e il rinnovo di quel certificato. Se utilizzi più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ciascuno di questi certificati. Le autorizzazioni DNS devono coprire tutti i domini specificati nel certificato; in caso contrario, la creazione e i rinnovi del certificato non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando l'autorizzazione DNS per progetto (anteprima). Ciò significa che Certificate Manager può emettere e gestire certificati per ogni progetto in modo indipendente all'interno di Google Cloud. Le autorizzazioni e i certificati DNS che utilizzi in un progetto sono autonomi e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS, devi aggiungere alla configurazione DNS un record CNAME per un sottodominio di convalida nidificato al di sotto del tuo dominio di destinazione.
Questo record CNAME rimanda a un dominio speciale Google Cloud che Certificate Manager utilizza per verificare la proprietà del dominio.
Gestore certificati restituisce il record CNAME quando crei un'autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre a Gestore certificati le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi il record CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante il processo di creazione dell'autorizzazione DNS. Dopo la selezione, ricevi un record CNAME univoco che include sia il sottodominio sia la destinazione, personalizzato per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Più domini per certificato
I certificati emessi da Gestore certificati consentono di specificare più nomi di dominio (nomi host) sullo stesso certificato di Nomi alternativi del soggetto.
Puoi aggiungere più domini a un certificato specificando un elenco di domini durante la creazione del certificato e le eventuali autorizzazioni corrispondenti richieste.
Ogni autorizzazione copre solo il dominio esatto (ad esempio,
video.example.com) e il carattere jolly (*.example.com). Non copre
i sottodomini espliciti. Ad esempio, se vuoi un certificato per eu.video.example.com, devi configurare un'altra autorizzazione DNS per il dominio eu.video.example.com.
I seguenti esempi mostrano come collegare un'autorizzazione per
video.example.com e eu.video.example.com:
gcloud
Usa il comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Viene creato un certificato con l'autorizzazione DNS nello stato AUTHORIZING e il certificato nello stato PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
I domini non possono condividere un'autorizzazione DNS. Devi specificare più domini e autorizzazioni. Gestore certificati determina quali domini richiedono determinate autorizzazioni.
Per informazioni su come vengono emessi e attivati i certificati, consulta Configurare i certificati SSL (TLS).
Rinnovo del certificato
I certificati gestiti vengono rinnovati automaticamente da Gestore certificati. I certificati rinnovati vengono automaticamente inviati al perimetro globale di Google per ogni servizio attivo che hai configurato.
- I certificati
EDGE_CACHEhanno un breve periodo di validità (30 giorni) per migliorare la sicurezza e la conformità rispetto all'attuale standard di settore di 90 giorni (con un intervallo di rinnovo di 60 giorni). - In genere, il rinnovo del certificato viene avviato quando mancano 10 giorni dopo la scadenza.
- Non è necessario intervenire quando un certificato viene rinnovato: il nuovo certificato sostituisce automaticamente quello esistente prima della data di scadenza, senza alcun impatto sul traffico in tempo reale.
Poiché la pipeline di emissione riconvalida il controllo del dominio prima del rinnovo, assicurati di non eliminare i record DNS configurati per l'autorizzazione DNS. L'eliminazione del record utilizzato per dimostrare la convalida del controllo del dominio (DCV) comporta l'impossibilità di rinnovare i certificati e impedisce ai client di connettersi tramite HTTPS (TLS) alla scadenza del certificato.
Record CAA e roots
Per verificare la compatibilità con i dispositivi client, tra cui smart TV, smartphone e streaming box meno recenti, puoi trovare il set completo di CA radice che Google utilizza all'indirizzo pki.goog.
Per consentire a Certificate Manager e Media CDN di emettere certificati per un dominio con record CAA esistenti, aggiungi il record CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Per i domini che non hanno record CAA esistenti non è necessario aggiungere questo record, ma lo consigliamo come best practice.
Scopri di più sui record CAA.
Limiti dei certificati
Puoi emettere fino a 1000 certificati gestiti e 1000 autorizzazioni DNS per progetto. Per altri limiti e quote correlati, consulta la documentazione Quote e limiti .
Versioni TLS supportate
Media CDN supporta le seguenti versioni TLS:
| Versione TLS | Supportato | Crittografia incluse |
|---|---|---|
| SSL 3.0 | No | N/D (non supportato) |
| TLS 1.0 | No | N/D (non supportato) |
| TLS 1.1 | No | N/D (non supportato) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,_TLS_SHABC_SHABC. |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Inoltre:
- I dispositivi che non supportano le versioni moderne di TLS (ad esempio TLS 1.3) negoziano automaticamente una versione TLS supportata.
- TLS 1.2 è la versione TLS minima supportata per Media CDN.
- Media CDN non supporta il collegamento dei criteri SSL a un servizio.
Risolvere i problemi di emissione dei certificati
In caso di errori di emissione dei certificati, scopri come risolvere i problemi di emissione dei certificati.
Passaggi successivi
- Leggi Configurare i certificati SSL.
- Comprendere la connettività dei client e il supporto per i protocolli.
- Verifica come vengono stabilite le connessioni SSL (TLS) alle tue origini.