安全資料傳輸層 (SSL) (傳輸層安全標準 (TLS)) 憑證

Media CDN 支援從您自己的網域名稱提供 TLS 加密 (HTTPS) 流量，也支援已簽署的要求。媒體 CDN 是從您自己的網域 (自備或 BYO 網域) 提供服務，不需從 Google 代管的網域提供服務。

• 提供 SSL (TLS) 流量或取得 Google 代管憑證不會產生額外費用，保護使用者流量不應收取額外費用。
• Media CDN 支援 Google 代管憑證和自行管理 (上傳) 憑證。Google 代管憑證可讓 Google 管理輪替、金鑰，並安全地將憑證發布至數千個邊緣節點。
• 每個服務最多可支援 5 個 SSL 憑證。
• 每個受管理憑證最多可有 100 個名稱 (主體替代名稱)。

建議您從專屬主機名稱 (子網域) 提供 Edge Cache 服務，並為媒體網域使用個別的代管憑證，以確保安全性。

建立及核發憑證

如要驗證、核發代管 SSL (TLS) 憑證，並附加至 Media CDN 服務，請參閱設定 SSL 憑證。

憑證類型

媒體 CDN 支援兩種憑證：

• 代管憑證：Google 可代您為擁有的網域名稱佈建憑證。您不需要安全金鑰，憑證也會自動續訂。
• 自行管理的憑證，可直接上傳至 Certificate Manager。您有責任上傳有效且公開信任的憑證，並在憑證到期前更換。

由於代管憑證可在將流量導向 Media CDN 之前授權及核發，因此您可以在切換正式環境流量前佈建憑證，避免停機。

在某些情況下，例如您需要在行動應用程式中釘選金鑰，或是支援使用過時信任儲存區的舊版裝置，您可能需要使用自行管理的憑證。如果特定網域名稱 (主機) 需要自行管理的憑證，您也可以在同一項服務上同時使用代管和自行管理的憑證。

授權核發憑證

透過 DNS 授權，您可以在正式環境完全設定完成前，驗證網域擁有權並佈建 Google 管理的憑證。將憑證遷移至 Google Cloud時，這項功能特別實用。

Certificate Manager 會透過 DNS 記錄驗證網域擁有權。每個 DNS 授權都會儲存 DNS 記錄的相關資訊，並涵蓋單一網域及其萬用字元 (例如 myorg.example.com 和 *.myorg.example.com)。萬用字元只涵蓋第一個子網域層級，不涵蓋更深層的子網域層級。舉例來說，*.myorg.example.com 不涵蓋 sub.subdomain.myorg.example.com。

建立 Google 代管的憑證時，您可以使用一或多個 DNS 授權，佈建及續約憑證。如果單一網域有多個憑證，則所有憑證都可以使用相同的 DNS 授權。不過，您的 DNS 授權必須涵蓋憑證中列出的所有網域，否則憑證建立和續訂作業會失敗。

如要設定 DNS 授權，請在 DNS 設定中新增 CNAME 記錄。您可以使用這項記錄驗證目標網域下的子網域。CNAME 記錄會指向 Certificate Manager 用來驗證網域擁有權的特殊 Google Cloud 網域。建立 DNS 授權時，Certificate Manager 會傳回這項 CNAME 記錄，並驗證您的擁有權。

請注意，CNAME 記錄也會授予 Certificate Manager 權限，在您的Google Cloud 專案中為目標網域佈建及續約憑證。如要撤銷這些權限，請從 DNS 設定中移除 CNAME 記錄。

依專案 DNS 授權

透過專案 DNS 授權，您可以在每個 Google Cloud 專案中獨立管理憑證。使用專案專屬的 DNS 授權，Certificate Manager 可以分別為每個專案核發及處理憑證。專案中使用的 DNS 授權和憑證是獨立的，不會與其他專案的構件互動。

如要啟用專案專屬的 DNS 授權，請在建立 DNS 授權時選擇 PER_PROJECT_RECORD 選項。接著，您會收到專屬的CNAME記錄，其中包含子網域和該專案的專屬目標。您應將這項 CNAME 記錄新增至相關網域的 DNS 區域。

每個憑證的多個網域

使用 Certificate Manager 核發的憑證時，您可以在同一個憑證上指定多個網域名稱 (主機名稱) 做為主體別名。

建立憑證時，您可以指定網域清單，並提供所有相符的授權，將多個網域新增至憑證。

每項授權僅涵蓋確切網域 (例如 video.example.com) 和萬用字元 (*.example.com)，不涵蓋任何明確子網域。舉例來說，如要取得 eu.video.example.com 的憑證，您必須為 eu.video.example.com 網域設定另一個 DNS 授權。

以下範例說明如何附加 video.example.com 和 eu.video.example.com 的授權：

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

網域無法共用 DNS 授權。您必須指定多個網域和授權。Certificate Manager 會判斷哪些網域需要哪些授權。

如要瞭解如何核發及啟用憑證，請參閱「設定 SSL (TLS) 憑證」。

更新憑證

代管憑證會由 Certificate Manager 自動更新。系統會自動將續約憑證推送至 Google 的全球邊緣，供您設定的每個有效服務使用。

• EDGE_CACHE 憑證的效期較短 (30 天)，相較於目前業界標準的 90 天 (續約間隔為 60 天)，可提升安全性和合規性。
• 憑證通常會在到期前 10 天啟動續約程序。
• 憑證續約時，您不必採取任何行動；新憑證會在到期日前自動取代現有憑證，不會對即時流量造成任何影響。

由於核發管道會在續約前重新驗證網域控制權，請務必不要刪除為 DNS 授權設定的 DNS 記錄。刪除用於證明 DCV (網域控制權驗證) 的記錄，會導致憑證無法續約，且憑證到期時，用戶端無法透過 HTTPS (TLS) 連線。

CAA 記錄和根目錄

如要檢查與舊型智慧型電視、智慧型手機和串流盒等用戶端裝置的相容性，請前往 pki.goog 查看 Google 使用的完整根憑證授權單位集。

如要允許 Certificate Manager 和 Media CDN 為含有現有 CAA 記錄的網域核發憑證，請新增 pki.goog CAA 記錄：

DOMAIN_NAME. CAA 0 issue "pki.goog"

如果網域沒有現有的 CAA 記錄，則不需要新增這項記錄，但我們建議您這麼做，因為這是最佳做法。

進一步瞭解 CAA 記錄。

憑證限制

每個專案最多可核發 1,000 個代管憑證和 1,000 個 DNS 授權。如要瞭解其他相關限制和配額，請參閱「配額與限制」說明文件。

支援的 TLS 版本

Media CDN 支援下列 TLS 版本：

此外：

• 不支援新版 TLS (例如 TLS 1.3) 的裝置會自動交涉支援的 TLS 版本。
• 媒體 CDN 支援的最低 TLS 版本為 1.2。
• Media CDN 不支援將 SSL 政策附加至服務。

排解憑證核發問題

如果憑證核發作業發生錯誤，請參閱這篇文章，瞭解如何排解憑證核發問題。

後續步驟

• 請參閱「設定 SSL 憑證」。
• 瞭解用戶端連線和通訊協定支援。
• 查看如何建立 SSL (TLS) 連線至來源。