ל-Media CDN יש תמיכה ברמה גבוהה בהצגת תנועה מוצפנת ב-TLS (HTTPS) משם הדומיין שלכם, וגם תמיכה בבקשות חתומות. Media CDN מוצג מהדומיין שלכם (Bring-Your-Own או דומיין BYO), ולא צריך להיות מוצג מדומיין שמתארח ב-Google.
- אין חיובים נוספים על הצגת תנועת SSL (TLS) או על קבלת אישורים בניהול Google: הגנה על תנועת משתמשי הקצה לא צריכה להיות בתשלום.
- Media CDN תומך גם באישורים שמנוהלים על ידי Google, שמאפשרים ל-Google לנהל את הרוטציה, המפתחות וההפצה המאובטחת לאלפי צמתי קצה, וגם באישורים שמנוהלים עצמאית (העלאה).
- כל שירות יכול לתמוך בעד 5 אישורי SSL.
- כל אישור מנוהל יכול לכלול עד 100 שמות (שמות חלופיים של נושא).
כדי לשמור על אבטחה, מומלץ להפעיל את שירות Edge Cache משמות מארחים ייעודיים (תת-דומיינים) ולהשתמש באישור מנוהל נפרד לדומיינים של המדיה.
יצירה והנפקה של אישורים
כדי לאמת, להנפיק ולצרף אישור SSL (TLS) מנוהל לשירות Media CDN, אפשר לעיין במאמר בנושא הגדרת אישורי SSL.
סוגי אישורים
Media CDN תומך בשני סוגים של אישורים:
- אישורים מנוהלים, ש-Google יכולה להקצות בשמכם לשמות דומיין שבבעלותכם. אתם לא צריכים מפתחות מאובטחים, והאישורים מתחדשים באופן אוטומטי.
- אישורים בניהול עצמי, שמעלים ישירות אל Certificate Manager. באחריותכם להעלות אישור תקף שמהימן באופן ציבורי, ולהחליף את האישור לפני שהוא יפוג.
מכיוון שאפשר לאשר ולהנפיק אישורים מנוהלים לפני שמפנים תנועה אל Media CDN, אתם יכולים להקצות אישורים לפני שאתם מעבירים את תנועת הייצור שלכם ולמנוע השבתה.
במקרים מסוימים, למשל אם אתם צריכים להצמיד מפתחות באפליקציות לנייד או תמיכה במכשירים מדור קודם עם חנויות אישורים לא עדכניות, יכול להיות שתצטרכו להשתמש באישורים בניהול עצמי. אפשר גם להשתמש באישורים מנוהלים ובאישורים בניהול עצמי באותו שירות, אם יש לכם שמות דומיין ספציפיים (מארחים) שנדרשים להם אישורים בניהול עצמי.
אישור הנפקת אישור
הרשאת DNS מאפשרת לכם לאמת את הבעלות על הדומיין ולספק אישורים שמנוהלים על ידי Google, עוד לפני שהגדרתם את סביבת הייצור באופן מלא. האפשרות הזו שימושית במיוחד כשמעבירים אישורים אל Google Cloud.
Certificate Manager מאמת את הבעלות על הדומיין באמצעות רשומות DNS. כל הרשאת DNS מאחסנת מידע על רשומת DNS, והיא חלה על דומיין יחיד ועל התו הכללי שלו (לדוגמה, גם myorg.example.com וגם *.myorg.example.com). תו כללי חל רק על הרמה הראשונה של תת-הדומיין, ולא על רמות עמוקות יותר של תת-הדומיין. לדוגמה, *.myorg.example.com לא כולל את sub.subdomain.myorg.example.com.
כשיוצרים אישור שמנוהל על ידי Google, אפשר להשתמש בהרשאה אחת או יותר של DNS כדי להקצות ולחדש אישורים. אם יש לכם כמה אישורים לאותו דומיין, אתם יכולים להשתמש באותה הרשאת DNS לכל האישורים. עם זאת, ההרשאות שלכם ב-DNS צריכות לכלול את כל הדומיינים שמופיעים באישור. אם לא, יצירה וחידוש של אישורים ייכשלו.
כדי להגדיר הרשאה באמצעות DNS, צריך להוסיף רשומת CNAME להגדרות ה-DNS. אפשר להשתמש ברשומה הזו כדי לאמת את הסאבדומיין בדומיין היעד. רשומת CNAME מפנה לדומיין מיוחד Google Cloud שמשמש את Certificate Manager לאימות הבעלות על הדומיין.
כשיוצרים הרשאה ל-DNS, Certificate Manager מחזיר את רשומת CNAME הזו ומאמת את הבעלות.
חשוב לזכור שרשומת CNAME מעניקה גם ל-Certificate Manager את ההרשאה להקצות ולחדש אישורים לדומיין היעד בפרויקטGoogle Cloud . כדי לבטל את ההרשאות האלה, צריך להסיר את רשומת ה-CNAME מהגדרות ה-DNS.
הרשאת DNS לכל פרויקט
הרשאת DNS לכל פרויקט מאפשרת לכם לנהל אישורים באופן עצמאי בכל פרויקט Google Cloud . באמצעות הרשאת DNS לכל פרויקט, Certificate Manager יכול להנפיק אישורים ולטפל בהם לכל פרויקט בנפרד. ההרשאות והאישורים של DNS שמשמשים בפרויקט הם עצמאיים ולא מתקשרים עם ארטיפקטים מפרויקטים אחרים.
כדי להפעיל הרשאת DNS לכל פרויקט, בוחרים באפשרות PER_PROJECT_RECORD
כשיוצרים הרשאת DNS. לאחר מכן תקבלו רשומה ייחודית CNAME
שכוללת גם תת-דומיין וגם יעד שספציפיים לפרויקט הזה.
צריך להוסיף את רשומת CNAME לתחום ה-DNS של הדומיין הרלוונטי.
כמה דומיינים בכל אישור
אישורים שהונפקו על ידי Certificate Manager מאפשרים לכם לציין כמה שמות דומיין (שמות מארחים) באותו אישור בתור שמות חלופיים של נושא האישור.
אפשר להוסיף כמה דומיינים לאישור על ידי ציון רשימת דומיינים כשיוצרים אישור, וגם את כל ההרשאות התואמות שנדרשות.
כל הרשאה חלה רק על הדומיין המדויק (לדוגמה, video.example.com) ועל התו הכללי (*.example.com). היא לא חלה על תת-דומיינים מפורשים. לדוגמה, אם רוצים לקבל אישור ל-eu.video.example.com, צריך להגדיר הרשאת DNS נוספת לדומיין eu.video.example.com.
בדוגמאות הבאות אפשר לראות איך לצרף הרשאה ל-video.example.com ול-eu.video.example.com:
gcloud
משתמשים בפקודה gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
הפעולה הזו יוצרת אישור עם הרשאת DNS במצב AUTHORIZING ואישור במצב PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
אי אפשר לשתף הרשאת DNS בין דומיינים. צריך לציין כמה דומיינים והרשאות. Certificate Manager קובע אילו הרשאות נדרשות לאילו דומיינים.
במאמר הגדרת אישורי SSL (TLS) מוסבר איך מנפיקים ומפעילים אישורים.
חידוש אישור
אישורים מנוהלים מתחדשים באופן אוטומטי על ידי Certificate Manager. אישורים מחודשים נדחפים אוטומטית ל-edge הגלובלי של Google עבור כל שירות פעיל שהגדרתם.
EDGE_CACHEתוקף האישורים קצר (30 ימים) כדי לשפר את האבטחה והתאימות, לעומת התקן הנוכחי בתעשייה של 90 ימים (עם מרווח חידוש של 60 ימים).- חידוש האישור מתחיל בדרך כלל כשהאישור עומד לפוג תוך 10 ימים.
- אין צורך לבצע פעולה כלשהי כשמחדשים אישור. האישור החדש מחליף באופן אוטומטי את האישור הקיים לפני תאריך התפוגה, בלי להשפיע על התנועה בזמן אמת.
כי תהליך הנפקת האישורים מאמת מחדש את השליטה בדומיין לפני החידוש, לכן חשוב לוודא שלא מוחקים את רשומות ה-DNS שהוגדרו לאישור DNS. מחיקה של הרשומה שמשמשת להוכחת DCV (אימות שליטה בדומיין) גורמת לכך שלא ניתן לחדש את האישורים ומונעת מלקוחות להתחבר דרך HTTPS (TLS) כשהאישור פג.
רשומות CAA ורשומות שורש
כדי לבדוק את התאימות למכשירי לקוח, כולל טלוויזיות חכמות ישנות יותר, סמארטפונים וסטרימרים, אפשר למצוא את כל רשימת רשויות האישורים הבסיסיות שבהן Google משתמשת בכתובת pki.goog.
כדי לאפשר ל-Certificate Manager ול-Media CDN להנפיק אישורים לדומיין עם רשומות CAA קיימות, מוסיפים את רשומת ה-CAA: pki.goog
DOMAIN_NAME. CAA 0 issue "pki.goog"
בדומיינים שאין בהם רשומות CAA קיימות, לא צריך להוסיף את הרשומה הזו, אבל מומלץ לעשות זאת כשיטה מומלצת.
מגבלות על אישורים
אפשר להנפיק עד 1,000 אישורים מנוהלים ו-1,000 אישורי DNS לכל פרויקט. מידע על מכסות ומגבלות אחרות שקשורות לנושא זמין במאמר מכסות ומגבלות .
גרסאות TLS נתמכות
Media CDN תומך בגרסאות ה-TLS הבאות:
| גרסת TLS | נתמך | הצפנות כלולות |
|---|---|---|
| SSL 3.0 | לא | לא רלוונטי (לא נתמך) |
| TLS 1.0 | לא | לא רלוונטי (לא נתמך) |
| TLS 1.1 | לא | לא רלוונטי (לא נתמך) |
| TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
בנוסף:
- מכשירים שלא תומכים בגרסאות מודרניות של TLS (כמו TLS 1.3) מנהלים משא ומתן אוטומטי על גרסת TLS נתמכת.
- TLS 1.2 היא גרסת ה-TLS המינימלית שנתמכת ב-Media CDN.
- Media CDN לא תומך בצירוף מדיניות SSL לשירות.
פתרון בעיות בהנפקת אישורים
אם נתקלתם בשגיאות בהנפקת האישור, תוכלו לקרוא איך לפתור בעיות בהנפקת אישורים.
המאמרים הבאים
- מידע נוסף על הגדרת אישורי SSL
- הסבר על קישוריות לקוח ותמיכה בפרוטוקולים.
- כדאי לבדוק איך נוצרים חיבורים מסוג SSL (TLS) למקורות שלכם.