Certificati SSL (TLS)

Media CDN offre un supporto di prima classe per la gestione del traffico con crittografia TLS (HTTPS) dal tuo nome di dominio, nonché il supporto per le richieste firmate. Media CDN viene pubblicato dal tuo dominio (Bring-Your-Own o BYO), e non deve essere pubblicato da un dominio ospitato da Google.

  • Non sono previsti costi aggiuntivi associati alla pubblicazione del traffico SSL (TLS) o all'ottenimento di certificati gestiti da Google: la protezione del traffico degli utenti finali non deve essere a pagamento.
  • Media CDN supporta sia i certificati gestiti da Google, consentendo a Google di gestire la rotazione, le chiavi e la distribuzione sicura a migliaia di nodi edge, sia i certificati autogestiti (caricati).
  • Ogni servizio può supportare fino a 5 certificati SSL.
  • Ogni certificato gestito può avere fino a 100 nomi (Subject Alternative Names).

Ti consigliamo di pubblicare il servizio Edge Cache da nomi host (sottodomini) dedicati e di utilizzare certificati gestiti separati per i domini multimediali come buona prassi di sicurezza.

Creare ed emettere certificati

Per convalidare, emettere e allegare un certificato SSL (TLS) gestito a un servizio Media CDN, consulta Configurazione dei certificati SSL.

Tipi di certificati

Media CDN supporta due tipi di certificati:

  • Certificati gestiti, che Google può eseguire il provisioning per tuo conto per i nomi di dominio di tua proprietà. Non hai bisogno di chiavi sicure e i certificati vengono rinnovati automaticamente.
  • Certificati autogestiti, che carichi direttamente in Certificate Manager. È tua responsabilità caricare un certificato valido e pubblicamente attendibile, nonché sostituirlo prima della scadenza.

Poiché i certificati gestiti possono essere autorizzati ed emessi prima di indirizzare il traffico a Media CDN, puoi eseguire il provisioning dei certificati prima di eseguire il cutover del traffico di produzione ed evitare tempi di inattività.

In alcuni casi, ad esempio quando è necessario il key pinning nelle applicazioni mobile o il supporto di dispositivi legacy con trust store obsoleti, potrebbe essere necessario utilizzare certificati autogestiti. Puoi anche utilizzare certificati gestiti e autogestiti sullo stesso servizio se hai nomi di dominio (host) specifici che richiedono certificati autogestiti.

Autorizzazione dell'emissione di certificati

L'autorizzazione DNS ti consente di verificare la proprietà del dominio e di eseguire il provisioning dei certificati gestiti da Google anche prima che l'ambiente di produzione sia completamente configurato. Questa opzione è particolarmente utile quando esegui la migrazione dei certificati a Google Cloud.

Certificate Manager verifica la proprietà del dominio tramite i record DNS. Ogni autorizzazione DNS memorizza informazioni su un record DNS e copre un singolo dominio e il relativo carattere jolly (ad esempio, sia myorg.example.com che *.myorg.example.com). Un carattere jolly copre solo il primo livello di sottodominio e non copre i livelli di sottodominio più profondi. Ad esempio, *.myorg.example.com non copre sub.subdomain.myorg.example.com.

Quando crei un certificato gestito da Google, puoi utilizzare una o più autorizzazioni DNS per eseguire il provisioning e il rinnovo dei certificati. Se hai più certificati per un singolo dominio, puoi utilizzare la stessa autorizzazione DNS per tutti i certificati. Tuttavia, le autorizzazioni DNS devono coprire tutti i domini elencati nel certificato. In caso contrario, la creazione e il rinnovo dei certificati non andranno a buon fine.

Per configurare l'autorizzazione DNS, devi aggiungere un record CNAME alla configurazione DNS. Puoi utilizzare questo record per convalidare il sottodominio nel tuo dominio di destinazione. Il record CNAME punta a un dominio speciale Google Cloud che Certificate Manager utilizza per verificare la proprietà del dominio. Quando crei un'autorizzazione DNS, Certificate Manager restituisce questo record CNAME e verifica la tua proprietà.

Ricorda che il record CNAME concede anche a Certificate Manager l'autorizzazione a eseguire il provisioning e il rinnovo dei certificati per il dominio di destinazione all'interno del tuo progettoGoogle Cloud . Per revocare queste autorizzazioni, rimuovi il record CNAME dalla configurazione DNS.

Autorizzazione DNS per progetto

L'autorizzazione DNS per progetto consente di gestire i certificati in modo indipendente all'interno di ciascun progetto Google Cloud . Utilizzando l'autorizzazione DNS per progetto, Certificate Manager può emettere e gestire i certificati per ogni progetto separatamente. Le autorizzazioni e i certificati DNS utilizzati all'interno di un progetto sono autonomi e non interagiscono con gli artefatti di altri progetti.

Per attivare l'autorizzazione DNS per progetto, scegli l'opzione PER_PROJECT_RECORD quando crei un'autorizzazione DNS. Riceverai quindi un record CNAME univoco che include sia un sottodominio sia una destinazione specifica per quel progetto. Devi aggiungere questo record CNAME alla zona DNS del dominio pertinente.

Più domini per certificato

I certificati emessi da Certificate Manager ti consentono di specificare più nomi di dominio (nomi host) nello stesso certificato come nomi alternativi del soggetto.

Puoi aggiungere più domini a un certificato specificando un elenco di domini durante la creazione di un certificato, nonché le autorizzazioni corrispondenti richieste.

Ogni autorizzazione copre solo il dominio esatto (ad esempio, video.example.com) e il carattere jolly (*.example.com). Non copre sottodomini espliciti. Se vuoi un certificato per eu.video.example.com, ad esempio, devi configurare un'altra autorizzazione DNS per il dominio eu.video.example.com.

I seguenti esempi mostrano come allegare un'autorizzazione per video.example.com e eu.video.example.com:

gcloud

Utilizza il comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

In questo modo viene creato un certificato con l'autorizzazione DNS nello stato AUTHORIZING e il certificato nello stato PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

I domini non possono condividere un'autorizzazione DNS. Devi specificare più domini e autorizzazioni. Certificate Manager determina quali domini richiedono quali autorizzazioni.

Per scoprire come vengono emessi e attivati i certificati, consulta Configurare i certificati SSL (TLS).

Rinnovo del certificato

I certificati gestiti vengono rinnovati automaticamente da Certificate Manager. I certificati rinnovati vengono inviati automaticamente all'edge globale di Google per ogni servizio attivo che hai configurato.

  • I certificati EDGE_CACHE hanno un breve periodo di validità (30 giorni) per migliorare la sicurezza e la conformità, rispetto all'attuale standard di settore di 90 giorni (con un intervallo di rinnovo di 60 giorni).
  • Il rinnovo del certificato viene in genere avviato quando mancano 10 giorni alla scadenza.
  • Non devi intervenire quando un certificato viene rinnovato. Il nuovo certificato sostituisce automaticamente quello esistente prima della data di scadenza, senza alcun impatto sul traffico in tempo reale.

Poiché la pipeline di emissione convalida nuovamente il controllo del dominio prima del rinnovo, assicurati di non eliminare i record DNS configurati per l'autorizzazione DNS. L'eliminazione del record utilizzato per dimostrare la convalida del controllo del dominio (DCV) comporta l'impossibilità di rinnovare i certificati e impedisce ai client di connettersi tramite HTTPS (TLS) alla scadenza del certificato.

Record e radici CAA

Per verificare la compatibilità con i dispositivi client, tra cui smart TV, smartphone e box di streaming meno recenti, puoi trovare l'insieme completo di CA radice utilizzate da Google all'indirizzo pki.goog.

Per consentire a Certificate Manager e Media CDN di emettere certificati per un dominio con record CAA esistenti, aggiungi il record CAA pki.goog:

DOMAIN_NAME. CAA 0 issue "pki.goog"

I domini che non hanno record CAA esistenti non devono aggiungere questo record, ma lo consigliamo come best practice.

Scopri di più sui record CAA.

Limiti dei certificati

Puoi emettere fino a 1000 certificati gestiti e 1000 autorizzazioni DNS per progetto. Per altri limiti e quote correlati, consulta la documentazione Quote e limiti .

Versioni TLS supportate

Media CDN supporta le seguenti versioni di TLS:

Versione TLS Supportato Cifratura inclusa
SSL 3.0 No N/A (non supportato)
TLS 1.0 No N/A (non supportato)
TLS 1.1 No N/A (non supportato)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

Inoltre:

  • I dispositivi che non supportano le versioni moderne di TLS (come TLS 1.3) negoziano automaticamente una versione di TLS supportata.
  • TLS 1.2 è la versione TLS minima supportata da Media CDN.
  • Media CDN non supporta l'allegato di policy SSL a un servizio.

Risolvere i problemi relativi all'emissione dei certificati

Se riscontri errori con l'emissione dei certificati, scopri come risolvere i problemi di emissione dei certificati.

Passaggi successivi