Media CDN 对通过您自己的网域名传送 TLS 加密 (HTTPS) 流量提供一流支持,同时也支持签名请求。媒体 CDN 从您自己的网域(Bring-Your-Own 或 BYO 网域),且不需要通过 Google 托管的网域提供。
- 提供 SSL (TLS) 不会产生额外费用 或获取由 Google 管理的 和证书:保护最终用户流量不应该成为头等大事。
- 媒体 CDN 同时支持 Google 管理的证书 让 Google 能够管理轮替、密钥和安全分发, 数千个边缘节点和自行管理(上传)的证书。
- 每项服务最多可以支持 5 个 SSL 证书。
- 每个受管证书最多可以有 100 个名称(主体替代名称)。
我们建议从专用网络提供的边缘缓存服务 主机名(子网域)并对媒体使用单独的托管式证书 视为良好的安全做法。
创建和颁发证书
要验证、颁发托管式 SSL (TLS) 证书并将其附加到 媒体 CDN 服务,请参阅配置 SSL 证书。
证书类型
Media CDN 支持两种类型的证书:
- 由 Google 管理的证书:Google 可以代表您为您拥有的域名预配证书。您无需安全密钥,证书会自动续订。
- 自行管理的证书,您可以直接将其上传到 Certificate Manager。您负责上传有效且受大众信任的 并在有效期内更换证书。
由于在将流量定向到 Media CDN 之前,您可以授权和颁发受管理的证书,因此您可以在切换正式版流量之前预配证书,从而避免服务中断。
在某些情况下(例如,您需要在移动应用中进行密钥固定,或者需要支持具有过时信任存储区的旧版设备),您可能需要使用自行管理的证书。您还可以同时使用自行管理和自我管理 如果您拥有特定的域名(主机) 需要自行管理的证书
授权颁发证书
如果您希望 Google 管理的证书在生产环境完全设置完毕之前就能够使用(例如,在开始从其他供应商迁移到 Google Cloud 之前),可以使用 DNS 授权为其预配。在这种情况下,证书管理器使用
基于 DNS 的验证。每个 DNS 授权都会存储有关 DNS 的信息
记录您需要设置和覆盖单个域及其通配符。
例如 myorg.example.com 和 *.myorg.example.com。
创建 Google 管理的证书时,您可以指定一个或多个 DNS 用于配置和续订该证书的授权。如果您为单个网域使用多个证书,则可以在每个证书中指定相同的 DNS 授权。您的 DNS 授权 必须涵盖证书中指定的所有网域;否则,证书 无法创建和续订。
您可以使用按项目 DNS 授权功能,为每个项目单独管理证书。这意味着 Certificate Manager 可以为每个证书管理器颁发和管理证书 独立项目。您在项目中使用的 DNS 授权和证书是独立的,不会与其他项目中的授权和证书互动。
设置 DNS 授权时,您需要为CNAME
将验证子网域嵌套在您的目标网域下,并添加到您的 DNS 配置中。
此 CNAME 记录指向 Certificate Manager 用于验证域名所有权的特殊 Google Cloud 网域。创建证书管理器时,证书管理器会返回 CNAME
目标网域的 DNS 授权。
CNAME 记录还会向 Certificate Manager 授予在目标 Google Cloud 项目中为该网域预配和续订证书的权限。如需撤消这些权限,请移除CNAME
记录。
要启用每个项目的 DNS 授权,请选择PER_PROJECT_RECORD
DNS 授权创建过程选择后
包含子网域和目标的 CNAME 记录,这是专为
特定项目。
将 CNAME 记录添加到相关网域的 DNS 区域。
每个证书可有多个网域
通过证书管理器颁发的证书,您可以指定 正文备用名称。
您可以通过指定网域列表,将多个网域添加到一个证书中 以及所需的任何匹配的授权。
每项授权仅涵盖确切网域(例如 video.example.com)和通配符网域(*.example.com),而不涵盖任何显式子网域。例如,如果您想要为 eu.video.example.com 获取证书,则必须为 eu.video.example.com 网域设置另一个 DNS 授权。
以下示例展示了如何为 video.example.com 和 eu.video.example.com 附加授权:
gcloud
使用 gcloud certificate-manager certificates 命令:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
这将在 AUTHORIZING 中创建一个具有 DNS 授权的证书
状态,而证书处于 PROVISIONING 状态:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
各个网域无法共享 DNS 授权。您必须指定多个 网域和授权。证书管理器 确定哪些域需要哪些授权。
如需了解证书的颁发和激活方式,请参阅配置 SSL (TLS) 证书。
证书续期
Certificate Manager 会自动续订代管式证书。 系统会自动将续订的证书推送到您配置的每项有效服务的 Google 全球边缘。
- 与当前的业界标准 90 天(续订间隔为 60 天)相比,
EDGE_CACHE证书的有效期较短(30 天),以提高安全性和合规性。 - 证书续订通常会在证书到期前 10 天启动。
- 当证书续订时,您无需执行任何操作;新的 证书会在该日期前自动替换现有证书 失效日期,因此您的实时流量不会受到任何影响。
由于发布流水线会在续订之前重新验证网域控制权, 切勿删除为 DNS 配置的 DNS 记录 授权。删除用于证明 DCV(网域控制)的记录 验证)导致无法续订证书,并且 当证书到期时,阻止客户端通过 HTTPS (TLS) 进行连接。
CAA 记录和根 CA
如需检查与客户端设备(包括旧版智能电视、智能手机和流媒体盒)的兼容性,您可以访问 pki.goog,查看 Google 使用的全部根 CA。
若要允许证书管理器和媒体 CDN 为具有现有 CAA 记录的网域颁发证书,请添加 pki.goog CAA 记录:
DOMAIN_NAME. CAA 0 issue "pki.goog"
没有现有 CAA 记录的网域无需添加此记录,但我们建议您遵循这一最佳实践。
详细了解 CAA 记录。
证书限制
每个项目最多可颁发 1,000 个受管理证书和 1,000 项 DNS 授权。如需了解其他相关限制和配额,请参阅配额和限制文档。
支持的 TLS 版本
媒体 CDN 支持以下 TLS 版本:
| TLS 版本 | 支持 | 包含的密码 |
|---|---|---|
| SSL 3.0 | 否 | 不适用(不受支持) |
| TLS 1.0 | 否 | 不适用(不受支持) |
| TLS 1.1 | 否 | 不适用(不受支持) |
| TLS 1.2 | ✔ | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256、 TLS_AES_256_GCM_SHA384、 TLS_CHACHA20_POLY1305_SHA256 |
此外:
- 不支持新型 TLS 版本(例如 TLS 1.3)的设备会自动协商支持的 TLS 版本。
- TLS 1.2 是 Media CDN 支持的最低 TLS 版本。
- 媒体 CDN 不支持附加 SSL 政策 服务
排查证书颁发问题
如果您在证书颁发方面遇到任何错误,请参阅 排查证书颁发问题。