Media CDN memiliki dukungan terbaik untuk menyajikan traffic yang dienkripsi TLS (HTTPS) dari nama domain Anda sendiri, serta dukungan untuk permintaan bertanda tangan. Media CDN ditayangkan dari domain Anda sendiri (Bring-Your-Own atau domain BYO), dan tidak perlu ditayangkan dari domain yang dihosting Google.
- Tidak ada biaya tambahan yang terkait dengan penayangan traffic SSL (TLS) atau perolehan sertifikat yang dikelola Google: melindungi traffic pengguna akhir tidak boleh dikenakan biaya premium.
- Media CDN mendukung sertifikat yang dikelola Google, sehingga Google dapat mengelola rotasi, kunci, dan distribusi yang aman ke ribuan node edge, serta sertifikat yang dikelola sendiri (diupload).
- Setiap Layanan dapat mendukung hingga 5 sertifikat SSL.
- Setiap sertifikat terkelola dapat memiliki hingga 100 nama (Nama Alternatif Subjek).
Sebaiknya sajikan layanan Edge Cache Anda dari nama host (subdomain) khusus dan gunakan sertifikat terkelola terpisah untuk domain media Anda sebagai praktik keamanan yang baik.
Membuat dan menerbitkan sertifikat
Untuk memvalidasi, menerbitkan, dan melampirkan sertifikat SSL (TLS) terkelola ke layanan Media CDN, lihat Mengonfigurasi sertifikat SSL.
Jenis sertifikat
Media CDN mendukung dua jenis sertifikat:
- Sertifikat terkelola, yang dapat disediakan Google atas nama Anda untuk nama domain yang Anda miliki. Anda tidak memerlukan kunci aman, dan sertifikat akan diperpanjang secara otomatis.
- Sertifikat yang dikelola sendiri, yang Anda upload langsung ke Certificate Manager. Anda bertanggung jawab untuk mengupload sertifikat yang valid dan dipercaya secara publik, serta mengganti sertifikat sebelum masa berlakunya berakhir.
Karena sertifikat terkelola dapat diberi otorisasi dan diterbitkan sebelum mengarahkan traffic di Media CDN, Anda dapat menyediakan sertifikat sebelum mengalihkan traffic produksi dan menghindari periode nonaktif.
Dalam beberapa kasus, seperti saat Anda memerlukan penyematan kunci di aplikasi seluler, atau dukungan untuk perangkat lama dengan penyimpanan tepercaya yang sudah usang, Anda mungkin perlu menggunakan sertifikat yang dikelola sendiri. Anda juga dapat menggunakan sertifikat terkelola dan dikelola sendiri di layanan yang sama jika Anda memiliki nama domain (host) tertentu yang memerlukan sertifikat yang dikelola sendiri.
Mengizinkan penerbitan sertifikat
Otorisasi DNS memungkinkan Anda memverifikasi kepemilikan domain dan menyediakan sertifikat yang dikelola Google bahkan sebelum lingkungan produksi Anda disiapkan sepenuhnya. Hal ini sangat berguna saat Anda memigrasikan sertifikat ke Google Cloud.
Certificate Manager memverifikasi kepemilikan domain melalui data DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS, dan
mencakup satu domain dan karakter penggantinya (misalnya, myorg.example.com
dan *.myorg.example.com). Karakter pengganti hanya mencakup tingkat subdomain pertama, dan
tidak mencakup tingkat subdomain yang lebih dalam. Misalnya, *.myorg.example.com tidak mencakup
sub.subdomain.myorg.example.com.
Saat membuat sertifikat yang dikelola Google, Anda dapat menggunakan satu atau beberapa otorisasi DNS untuk menyediakan dan memperbarui sertifikat. Jika memiliki beberapa sertifikat untuk satu domain, Anda dapat menggunakan otorisasi DNS yang sama untuk semua sertifikat. Namun, otorisasi DNS Anda harus mencakup semua domain yang tercantum dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.
Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME ke konfigurasi DNS Anda. Anda dapat menggunakan catatan ini untuk memvalidasi subdomain di domain target Anda. Data CNAME mengarah ke domain Google Cloud khusus yang digunakan Certificate Manager untuk memverifikasi kepemilikan domain Anda.
Saat Anda membuat otorisasi DNS, Pengelola Sertifikat akan menampilkan data CNAME ini dan memverifikasi kepemilikan Anda.
Ingat, data CNAME juga memberikan izin kepada Certificate Manager untuk menyediakan dan memperpanjang sertifikat untuk domain target dalam projectGoogle Cloud Anda. Untuk mencabut izin ini, hapus data CNAME
dari konfigurasi DNS Anda.
Otorisasi DNS per project
Otorisasi DNS per project memungkinkan Anda mengelola sertifikat secara independen dalam setiap project Google Cloud . Dengan menggunakan otorisasi DNS per project, Certificate Manager dapat menerbitkan dan menangani sertifikat untuk setiap project secara terpisah. Otorisasi dan sertifikat DNS yang digunakan dalam project bersifat mandiri dan tidak berinteraksi dengan artefak dari project lain.
Untuk mengaktifkan otorisasi DNS per project, pilih opsi PER_PROJECT_RECORD
saat membuat otorisasi DNS. Kemudian, Anda akan menerima rekaman CNAME
unik yang mencakup subdomain dan target khusus untuk project tersebut.
Anda harus menambahkan data CNAME ini ke zona DNS domain yang relevan.
Beberapa domain per sertifikat
Sertifikat yang diterbitkan oleh Certificate Manager memungkinkan Anda menentukan beberapa nama domain (nama host) pada sertifikat yang sama sebagai Nama Alternatif Subjek.
Anda dapat menambahkan beberapa domain ke sertifikat dengan menentukan daftar domain saat membuat sertifikat, serta otorisasi yang cocok yang diperlukan.
Setiap otorisasi hanya mencakup domain persis (misalnya, video.example.com) dan karakter pengganti (*.example.com). Otorisasi tidak mencakup subdomain eksplisit. Jika Anda menginginkan sertifikat untuk eu.video.example.com, misalnya, Anda harus menyiapkan otorisasi DNS lain untuk domain eu.video.example.com.
Contoh berikut menunjukkan cara melampirkan otorisasi untuk
video.example.com dan eu.video.example.com:
gcloud
Gunakan perintah gcloud certificate-manager certificates:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Tindakan ini akan membuat sertifikat dengan otorisasi DNS dalam statusAUTHORIZING
dan sertifikat dalam status PROVISIONING:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Domain tidak dapat membagikan otorisasi DNS. Anda harus menentukan beberapa domain dan otorisasi. Certificate Manager menentukan domain mana yang memerlukan otorisasi tertentu.
Untuk mempelajari cara sertifikat diterbitkan dan diaktifkan, lihat Mengonfigurasi sertifikat SSL (TLS).
Perpanjangan sertifikat
Sertifikat terkelola diperpanjang secara otomatis oleh Certificate Manager. Sertifikat yang diperpanjang otomatis dikirim ke edge global Google untuk setiap layanan aktif yang telah Anda konfigurasi.
- Sertifikat
EDGE_CACHEmemiliki masa berlaku yang singkat (30 hari) untuk meningkatkan keamanan dan kepatuhan, dibandingkan dengan standar industri saat ini yaitu 90 hari (dengan interval perpanjangan 60 hari). - Perpanjangan sertifikat biasanya dimulai saat masa berlaku sertifikat akan berakhir dalam 10 hari.
- Anda tidak perlu melakukan tindakan apa pun saat sertifikat diperpanjang; sertifikat baru akan otomatis menggantikan sertifikat yang ada sebelum tanggal habis masa berlaku, tanpa memengaruhi traffic aktif Anda.
Karena pipeline penerbitan memvalidasi ulang kontrol domain sebelum perpanjangan, pastikan Anda tidak menghapus data DNS yang dikonfigurasi untuk otorisasi DNS. Menghapus data yang digunakan untuk mendemonstrasikan DCV (Validasi Kontrol Domain) akan menyebabkan Anda tidak dapat memperpanjang sertifikat dan mencegah klien terhubung melalui HTTPS (TLS) saat sertifikat berakhir.
Data dan root CAA
Untuk memeriksa kompatibilitas dengan perangkat klien, termasuk smart TV, smartphone, dan kotak streaming yang lebih lama, Anda dapat menemukan kumpulan lengkap root CA yang digunakan Google di pki.goog.
Untuk mengizinkan Certificate Manager dan Media CDN menerbitkan sertifikat untuk domain dengan data CAA yang ada, tambahkan data CAA pki.goog:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Domain yang tidak memiliki data CAA yang ada tidak perlu menambahkan data ini, tetapi sebaiknya tambahkan sebagai praktik terbaik.
Baca selengkapnya tentang data CAA.
Batas sertifikat
Anda dapat menerbitkan hingga 1.000 sertifikat terkelola dan 1.000 otorisasi DNS per proyek. Untuk mengetahui batas dan kuota terkait lainnya, lihat dokumentasi Kuota dan batas .
Versi TLS yang didukung
Media CDN mendukung versi TLS berikut:
| Versi TLS | Didukung | Cipher yang Disertakan |
|---|---|---|
| SSL 3.0 | Tidak | T/A (tidak didukung) |
| TLS 1.0 | Tidak | T/A (tidak didukung) |
| TLS 1.1 | Tidak | T/A (tidak didukung) |
| TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Selain itu:
- Perangkat yang tidak mendukung versi TLS modern (seperti TLS 1.3) akan otomatis melakukan negosiasi versi TLS yang didukung.
- TLS 1.2 adalah versi TLS minimum yang didukung untuk Media CDN.
- Media CDN tidak mendukung penerapan kebijakan SSL ke layanan.
Memecahkan masalah penerbitan sertifikat
Jika Anda mengalami error saat penerbitan sertifikat, lihat cara memecahkan masalah penerbitan sertifikat.
Langkah berikutnya
- Baca Mengonfigurasi sertifikat SSL.
- Memahami konektivitas klien dan dukungan protokol.
- Tinjau cara koneksi SSL (TLS) dibuat ke origin Anda.