Dopo aver creato uno o più servizi Media CDN, puoi emettere e collegare i certificati SSL (TLS) per supportare la connettività sicura nei browser e nelle applicazioni mobile.
Emetti un certificato gestito
Per creare un certificato gestito e collegarlo al servizio Media CDN, devi seguire questi passaggi:
- Dimostra la proprietà ("autorizzazione") dei domini per i quali vuoi emettere i certificati creando un token di verifica e aggiungendo un record DNS.
- Crea un certificato di tipo
EDGE_CACHE
con uno o più nomi di dominio basati su tale autorizzazione. - Collega il certificato a uno o più servizi cache perimetrale.
Per autorizzare, creare e collegare certificati a un servizio di cache perimetrale, devi disporre delle seguenti autorizzazioni di Identity and Access Management:
certificatemanager.certs.create
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
certificatemanager.dnsauthorizations.create
certificatemanager.dnsauthorizations.get
certificatemanager.dnsauthorizations.list
certificatemanager.dnsauthorizations.use
Gli utenti che devono collegare un certificato esistente a un servizio Media CDN richiedono le autorizzazioni IAM certificatemanager.certs.get
, certificatemanager.certs.list
e certificatemanager.certs.use
.
Prima di iniziare
- Devi disporre di un nome di dominio registrato su cui puoi aggiornare i record DNS pubblici.
- Leggi la panoramica dei certificati SSL.
Crea un'autorizzazione DNS
Innanzitutto, devi creare un'autorizzazione DNS per dimostrare la proprietà del dominio prima di poter emettere certificati. L'autorizzazione DNS utilizza la verifica DNS-01 ACME e consente di emettere un certificato prima di indirizzare il traffico rivolto agli utenti al servizio cache perimetrale.
Imposta il valore di domain
sul nome di dominio per cui intendi creare un certificato, come segue:
gcloud
Usa il comando gcloud certificate-manager dns-authorizations
:
gcloud certificate-manager dns-authorizations create DOMAIN_NAME_AUTH \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe DOMAIN_NAME_AUTH
gcloud CLI restituisce una risposta con i dettagli del record DNS che devi aggiungere.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.example.com. type: CNAME domain: example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
Se utilizzi Cloud DNS per il tuo dominio, consulta la procedura per aggiungere un nuovo record al dominio ospitato. Se utilizzi un altro provider DNS, consulta la relativa documentazione per l'aggiunta di un record CNAME.
- Puoi ripetere questo passaggio per ogni dominio per il quale devi emettere un certificato.
- I certificati possono contenere più domini o puoi scegliere di emettere un certificato per dominio, se necessario. Dopo aver ottenuto l'autorizzazione per un dominio, puoi utilizzarla per emettere certificati.
- Ti consigliamo di creare un numero inferiore di certificati totali, ciascuno con tutti i nomi di dominio utilizzati per il servizio. Ciò migliora le prestazioni dei client quando si utilizzano più domini, perché i client possono trarre vantaggio dalla ripresa di TLS più spesso.
- Ogni servizio di cache perimetrale può fare riferimento a un massimo di cinque certificati. Se emetti meno certificati, puoi rimanere entro questo limite.
Se devi recuperare i valori del record DNS in un secondo momento, effettua una richiesta per il authorizationName
che hai fornito durante la creazione dell'autorizzazione DNS:
Crea un certificato
Dopo aver aggiunto il record DNS che dimostra la proprietà dei domini per i quali vuoi creare un certificato, puoi inviare una richiesta di creazione del certificato.
L'elenco di dnsAuthorizations
deve corrispondere ai nomi delle autorizzazioni esistenti che hai creato in precedenza durante la procedura. Se vuoi aggiungere più domini allo stesso certificato, fornisci un elenco di domains[]
e dnsAuthorizations[]
corrispondenti quando effettui la richiesta.
Per creare un certificato utilizzando un'autorizzazione per test.example.com
denominata
test-example-com
:
gcloud
Usa il comando gcloud certificate-manager certificates
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME" \ --dns-authorizations="DOMAIN_NAME_AUTH" \ --scope=EDGE_CACHE
Viene creato un certificato con ogni autorizzazione DNS nello stato AUTHORIZING
e il certificato nello stato PROVISIONING
:
Create request issued for: [DOMAIN_NAME] Waiting for operation [projects/my-project/locations/global/operations/operatio n-1613425627385-5bb66ed644e91-3e2a2f1f-71979cf8] to complete...done. Created certificate [CERTIFICATE_NAME].
Terraform
Potrebbero essere necessari alcuni minuti (e fino a un'ora) per il completamento della creazione del certificato, a seconda di quanto segue:
- La velocità con cui il tuo provider DNS propaga le modifiche alla configurazione.
- Il numero di domini per i quali stai tentando di convalidare e creare certificati.
Il campo state
mostra lo stato attuale del certificato:
- PROVISIONING: è ancora in corso il provisioning del certificato. Probabilmente, la richiesta di creazione del certificato è stata effettuata solo di recente.
- FAILED - Restituito dopo diversi tentativi di convalida del dominio o di emissione del certificato. Per maggiori dettagli, consulta i campi
provisioning_issue
,authorization_attempt_info
efailure_reason
. - ATTIVO: il dominio è stato convalidato ed è stato eseguito il provisioning del certificato.
Per controllare lo stato del certificato:
gcloud
Usa il comando gcloud certificate-manager certificates
:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
In questo esempio, l'autorizzazione DNS è AUTHORIZED
e lo stato del certificato è ACTIVE
:
createTime: '2021-02-07T20:03:39.867762684Z' expireTime: '2021-03-09T19:20:41Z' managed: authorizationAttemptInfo: - domain: DOMAIN_NAME state: AUTHORIZED dnsAuthorizations: - projects/111111111111/locations/global/dnsAuthorizations/test-example-com domains: - DOMAIN_NAME state: ACTIVE name: projects/my-project/locations/global/certificates/test-example-com scope: EDGE_CACHE subjectAlternativeNames: - DOMAIN_NAME updateTime: '2021-02-07T20:03:40.297242738Z'
Quando il certificato è ACTIVE
, puoi collegarlo a un servizio Edge Cache.
Collega un certificato a un servizio
Dopo aver creato un certificato gestito, puoi associarlo a uno o più servizi della cache perimetrale.
È possibile collegare i certificati a servizi nuovi ed esistenti aggiornando l'elenco di edgeSslCertificates
nel servizio.
Per collegare i certificati a un servizio di cache perimetrale, devi disporre delle seguenti autorizzazioni IAM:
certificatemanager.certs.get
certificatemanager.certs.list
certificatemanager.certs.use
networkservices.edgeCacheServices.get
networkservices.edgeCacheServices.list
networkservices.edgeCacheServices.update
Per collegare un certificato a un servizio, completa i seguenti passaggi.
gcloud
Esegui il comando gcloud edge-cache services export
per esportare il file YAML del tuo servizio:
gcloud edge-cache services export MY_SERVICE \ --destination=my-service.yaml
Modifica il file YAML esportato per aggiungere il tuo certificato:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Esegui il comando gcloud edge-cache services import
:
gcloud edge-cache services import MY_SERVICE \ --source=my-service.yaml
Output:
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE]
Il comando restituisce una descrizione del servizio, incluso l'elenco di edgeSslCertificates
ora allegato:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Dopo aver aggiornato la configurazione, il certificato si propaga in tutte le località perimetrali entro pochi minuti. Per verificare che il certificato sia associato al servizio Edge Cache prima di apportare modifiche DNS, puoi inviare una richiesta all'indirizzo IPv4 o IPv6 associato al servizio.
Sostituire e rimuovere i certificati
I certificati possono essere aggiunti e rimossi aggiornando l'elenco dei certificati.
Quando utilizzi il flag --edge-ssl-certificate
dell'interfaccia a riga di comando gcloud, i certificati vengono aggiunti solo all'elenco dei certificati esistenti e non vengono sostituiti. In questo modo eviterai di rimuovere accidentalmente un certificato valido e attivo.
Per rimuovere il certificato test-example-com
dal nostro servizio nell'esempio seguente, puoi esportare il tuo servizio in YAML utilizzando i comandi di importazione ed esportazione
name: my-service edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/test-example-com - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
I comandi seguenti mostrano come esportare il servizio, rimuovere il riferimento ai certificati e importare il servizio aggiornato.
gcloud
Usa il comando gcloud edge-cache services
:
gcloud edge-cache services export MY_SERVICE --destination=my-service.yaml
Exported [projects/my-project/locations/global/edgeCacheServices/MY_SERVICE] to 'my-service.yaml'.
Rimuovi i certificati che non desideri più che il servizio utilizzi utilizzando il tuo editor di testo preferito:
name: MY_SERVICE edgeSslCertificates: - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME
Salva il file modificato, quindi importa il servizio aggiornato:
gcloud
Usa il comando gcloud edge-cache services
:
gcloud edge-cache services import MY_SERVICE --source=my-service.yaml
Request issued for: [MY_SERVICE] Updated service [MY_SERVICE].
Non esiste alcun limite al numero di servizi a cui un certificato può essere associato e ogni servizio di cache perimetrale può fare riferimento a un massimo di cinque certificati.
Certificati autogestiti
Puoi caricare i tuoi certificati su Media CDN se hai casi d'uso specifici che lo richiedono.
Per caricare un certificato e la relativa chiave associata in Gestore certificati:
gcloud
Usa il comando gcloud certificate-manager certificates
. Assicurati di specificare --scope=EDGE_CACHE
per i certificati associati a Media CDN.
gcloud certificate-manager certificates create stream-example-com \ --certificate-file=CERT.pem \ --private-key-file=PRIVATE_KEY.pem \ --scope=EDGE_CACHE
Create request issued for: [stream-example-com] Created certificate [stream-example-com].
Dopo aver caricato il certificato, puoi collegarlo a EdgeCacheService come faresti con un certificato gestito.
Risolvere i problemi di emissione dei certificati
Consulta la guida alla risoluzione dei problemi per scoprire come risolvere gli errori comuni di autorizzazione ed emissione dei certificati.
Passaggi successivi
- Reindirizza tutte le richieste HTTP a HTTPS per criptare le comunicazioni per impostazione predefinita
- Visualizza i log delle richieste con Logging
- Configura le richieste firmate per proteggere i tuoi contenuti.
- Ottimizza le chiavi cache e i TTL per migliorare le percentuali di successo della cache
- Configura la corrispondenza avanzata delle route e aggiungi altre origini