La CDN de Media tiene compatibilidad de primera clase para entregar tráfico encriptado con TLS (HTTPS) desde tu propio nombre de dominio, así como compatibilidad con solicitudes firmadas. La CDN de Media se entrega desde tu propio dominio (dominio Bring-Your-Own o BYO) y no necesita entregarse desde un dominio alojado en Google.
- No hay cargos adicionales asociados con la entrega de tráfico SSL (TLS) o la obtención de certificados administrados por Google: la protección del tráfico del usuario final no debe ser prémium.
- La CDN de Media admite certificados administrados por Google, lo que permite que Google administre la rotación, las claves y la distribución segura a miles de nodos perimetrales, así como certificados autoadministrados (subidos).
- Cada servicio puede admitir hasta 5 certificados SSL.
- Cada certificado administrado puede tener hasta 100 nombres (nombres alternativos de entidad).
Te recomendamos entregar tu servicio de caché perimetral desde nombres de host dedicados (subdominios) y usar certificados administrados independientes para tus dominios de medios, como una buena práctica de seguridad.
Crea y emite certificados
Para validar, emitir y adjuntar un certificado SSL (TLS) administrado a un servicio de CDN de Media, consulta cómo configurar certificados SSL.
Tipos de certificados
La CDN de Media admite dos tipos de certificados:
- Certificados administrados, que Google puede aprovisionar en tu nombre para los nombres de dominio que posees. No necesitas claves seguras y los certificados se renuevan automáticamente.
- Certificados autoadministrados, que subes directamente al Administrador de certificados. Eres responsable de subir un certificado válido y de confianza pública, así como de reemplazarlo antes de que venza.
Debido a que los certificados administrados se pueden autorizar y emitir antes de dirigir el tráfico a la CDN de Media, puedes aprovisionar certificados antes de transferir tu tráfico de producción y evitar el tiempo de inactividad.
En algunos casos, como cuando necesitas fijación de claves en aplicaciones para dispositivos móviles o compatibilidad con dispositivos heredados con almacenes de confianza desactualizados, es posible que debas usar certificados autoadministrados. También puedes usar certificados administrados y autoadministrados en el mismo servicio si tienes nombres de dominio (hosts) específicos que requieren certificados autoadministrados.
Autoriza la emisión de certificados
La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados administrados por Google incluso antes de que tu entorno de producción esté completamente configurado. Esto es particularmente útil cuando migras certificados a Google Cloud.
El Administrador de certificados verifica la propiedad del dominio a través de registros DNS. Cada autorización de DNS almacena información sobre un registro DNS y
abarca un solo dominio y su comodín (por ejemplo, myorg.example.com
y *.myorg.example.com). Un comodín solo abarca el primer nivel de subdominio y
no abarca niveles de subdominio más profundos. Por ejemplo, *.myorg.example.com no abarca sub.subdomain.myorg.example.com.
Cuando creas un certificado administrado por Google, puedes usar una o más autorizaciones de DNS para aprovisionar y renovar certificados. Si tienes varios certificados para un solo dominio, puedes usar la misma autorización de DNS para todos los certificados. Sin embargo, tus autorizaciones de DNS deben abarcar todos los dominios que aparecen en el certificado; si no lo hacen, fallará la creación y renovación de certificados.
Para configurar la autorización de DNS, debes agregar un registro CNAME a tu configuración de DNS. Puedes usar este registro para validar el subdominio en tu dominio de destino. El registro CNAME apunta a un dominio especial Google Cloud que usa el Administrador de certificados
para verificar la propiedad de tu dominio.
Cuando creas una autorización de DNS, el Administrador de certificados muestra este registro CNAME y verifica tu propiedad.
Recuerda que el registro CNAME también otorga al Administrador de certificados
el permiso para aprovisionar y renovar certificados para el dominio de destino dentro de tu
Google Cloud proyecto. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.
Autorización de DNS por proyecto
La autorización de DNS por proyecto te permite administrar certificados de forma independiente dentro de cada Google Cloud proyecto. Con la autorización de DNS por proyecto, el Administrador de certificados puede emitir y controlar certificados para cada proyecto por separado. Las autorizaciones de DNS y los certificados que se usan dentro de un proyecto son independientes y no interactúan con artefactos de otros proyectos.
Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD cuando crees una autorización de DNS. Luego, recibirás un registro CNAME único que incluye un subdominio y un destino específicos para ese proyecto.
Debes agregar este registro CNAME a la zona DNS del dominio correspondiente.
Varios dominios por certificado
Los certificados emitidos por el Administrador de certificados te permiten especificar varios nombres de dominio (nombres de host) en el mismo certificado como nombres alternativos de entidad.
Puedes agregar varios dominios a un certificado si especificas una lista de dominios cuando creas un certificado, así como las autorizaciones coincidentes necesarias.
Cada autorización solo abarca el dominio exacto (por ejemplo, video.example.com) y el comodín (*.example.com). No abarca ningún subdominio explícito. Si deseas un certificado para eu.video.example.com, por ejemplo, debes configurar otra autorización de DNS para el dominio eu.video.example.com.
En los siguientes ejemplos, se muestra cómo adjuntar una autorización para
video.example.com y eu.video.example.com:
gcloud
Usa el comando gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Esto crea un certificado con la autorización de DNS en el estado AUTHORIZING y el certificado en el estado PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Los dominios no pueden compartir una autorización de DNS. Debes especificar varios dominios y autorizaciones. El Administrador de certificados determina qué dominios requieren qué autorizaciones.
Para obtener información sobre cómo se emiten y activan los certificados, consulta Configura certificados SSL (TLS) certificates.
Renovación de la certificación
El Administrador de certificados renueva automáticamente los certificados administrados. Los certificados renovados se envían automáticamente al perímetro global de Google para cada servicio activo que hayas configurado.
- Los certificados
EDGE_CACHEtienen un período de validez corto (30 días) para mejorar la seguridad y el cumplimiento, en comparación con el estándar actual de la industria de 90 días (con un intervalo de renovación de 60 días). - Por lo general, la renovación del certificado se inicia cuando faltan 10 días para que venza.
- No es necesario que realices ninguna acción cuando se renueva un certificado. El certificado nuevo reemplaza automáticamente al certificado existente antes de la fecha de vencimiento, sin afectar el tráfico en vivo.
Debido a que la canalización de emisión vuelve a validar el control del dominio antes de la renovación, asegúrate de no borrar los registros DNS configurados para la autorización de DNS. Si borras el registro que se usa para demostrar la validación de control de dominio (DCV), no podrás renovar tus certificados y evitarás que los clientes se conecten a través de HTTPS (TLS) cuando venza el certificado.
Registros y raíces de CAA
Para verificar la compatibilidad con dispositivos cliente, incluidos los televisores inteligentes, los smartphones y los decodificadores más antiguos, puedes encontrar el conjunto completo de CA raíz que usa Google en pki.goog.
Para permitir que el Administrador de certificados y la CDN de Media emitan certificados para un dominio con registros CAA existentes, agrega el registro CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Los dominios que no tienen registros CAA existentes no necesitan agregar este registro, pero lo recomendamos como práctica recomendada.
Obtén más información sobre los registros CAA.
Límites de certificados
Puedes emitir hasta 1,000 certificados administrados y 1,000 autorizaciones de DNS por proyecto. Para conocer otros límites y cuotas, consulta la documentación Cuotas y límites.
Versiones de TLS compatibles
La CDN de Media admite las siguientes versiones de TLS:
| Versión de TLS | Se admite | Cifrados incluidos |
|---|---|---|
| SSL 3.0 | No | N/A: No admitido |
| TLS 1.0 | No | N/A: No admitido |
| TLS 1.1 | No | N/A: No admitido |
| TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Además:
- Los dispositivos que no admiten versiones modernas de TLS (como TLS 1.3) negocian automáticamente una versión de TLS compatible.
- TLS 1.2 es la versión mínima de TLS admitida para la CDN de Media.
- La CDN de Media no admite la adjunción de políticas de SSL a un servicio.
Solucionar problemas relacionados con la emisión de certificados
Si tienes algún error con la emisión de certificados, consulta cómo so lucionar problemas de emisión de certificados.
¿Qué sigue?
- Lee Configura certificados SSL.
- Comprende la conectividad del cliente y la compatibilidad con protocolos.
- Revisa cómo se realizan las conexiones SSL (TLS) a tus orígenes.