Configurar certificados SSL (TLS)

Depois de criar um serviço da Media CDN (ou serviços), você pode emitir e anexar certificados SSL (TLS) para oferecer suporte à conectividade segura em navegadores e aplicativos móveis.

Emitir um certificado gerenciado

Para criar um certificado gerenciado e anexá-lo ao seu serviço da Media CDN, faça o seguinte:

  1. Demonstre a propriedade ("autorização") dos domínios para os quais você quer emitir certificados criando um token de desafio e adicionando um registro DNS.
  2. Crie um certificado do tipo EDGE_CACHE com um ou mais nomes de domínio com base nessa autorização.
  3. Anexe esse certificado a um ou mais serviços do Edge Cache.

Você precisa ter as seguintes permissões do Identity and Access Management para autorizar, criar e anexar certificados a um serviço do Edge Cache:

  • certificatemanager.certs.create
  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.use

Os usuários que precisam anexar um certificado existente a um serviço da Media CDN precisam das permissões do IAM certificatemanager.certs.get, certificatemanager.certs.list e certificatemanager.certs.use.

Antes de começar

Criar uma autorização de DNS

Primeiro, você precisa criar uma autorização de DNS para demonstrar a propriedade do domínio antes de emitir certificados para ele. A autorização de DNS usa o desafio DNS-01 ACME e permite emitir um certificado antes de direcionar o tráfego voltado ao usuário para o serviço de cache de borda.

Defina o valor de domain como o nome de domínio para o qual você quer criar um certificado, da seguinte maneira:

gcloud

Use o comando gcloud certificate-manager dns-authorizations:

gcloud certificate-manager dns-authorizations create DOMAIN_NAME_AUTH \
    --domain="DOMAIN_NAME"
gcloud certificate-manager dns-authorizations describe DOMAIN_NAME_AUTH

A CLI gcloud retorna uma resposta com os detalhes do registro DNS que você precisa adicionar.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.example.com.
  type: CNAME
domain: example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform 

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "example-dns-auth"
  description = "example dns authorization "
  domain      = "test.example.com"
}

Se você estiver usando o Cloud DNS para seu domínio, consulte as etapas para adicionar um novo registro ao seu domínio hospedado. Se você estiver usando outro provedor de DNS, consulte a documentação dele para adicionar um registro CNAME.

  • Repita essa etapa para cada domínio em que você precisa emitir um certificado.
  • Os certificados podem conter vários domínios, ou você pode emitir um certificado por domínio, conforme necessário. Depois de ter uma autorização para um domínio, você pode usá-la para emitir certificados.
  • Recomendamos criar menos certificados no total, cada um com todos os nomes de domínio usados para seu serviço. Isso melhora a performance do cliente ao usar vários domínios, porque os clientes podem se beneficiar da retomada do TLS com mais frequência.
  • Cada serviço de armazenamento em cache de borda pode referenciar até cinco certificados. Ao emitir menos certificados, você pode ficar dentro desse limite.

Se você precisar recuperar os valores do registro DNS mais tarde, faça uma solicitação para o authorizationName fornecido ao criar a autorização de DNS:

Criar um certificado

Depois de adicionar o registro DNS que demonstra a propriedade dos domínios para os quais você quer criar um certificado, emita uma solicitação de criação de certificado.

A lista de dnsAuthorizations precisa corresponder aos nomes das autorizações criadas anteriormente no processo. Se você quiser adicionar vários domínios ao mesmo certificado, forneça uma lista de domains[] e dnsAuthorizations[] correspondentes ao fazer a solicitação.

Para criar um certificado usando uma autorização para test.example.com chamada test-example-com:

gcloud

Use o comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME" \
    --dns-authorizations="DOMAIN_NAME_AUTH" \
    --scope=EDGE_CACHE

Isso cria um certificado com cada autorização DNS no estado AUTHORIZING e o certificado no estado PROVISIONING:

Create request issued for: [DOMAIN_NAME]
Waiting for operation [projects/my-project/locations/global/operations/operatio
n-1613425627385-5bb66ed644e91-3e2a2f1f-71979cf8] to complete...done.
Created certificate [CERTIFICATE_NAME].

Terraform 

resource "google_certificate_manager_certificate" "default" {
  name        = "example-dns-cert"
  description = "example dns certificate"
  scope       = "EDGE_CACHE"
  managed {
    domains = [
      google_certificate_manager_dns_authorization.default.domain,
    ]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id,
    ]
  }
}

A criação do certificado pode levar alguns minutos (até uma hora), dependendo do seguinte:

  • A velocidade com que seu provedor de DNS propaga as mudanças de configuração.
  • Quantos domínios você está tentando validar e para quantos quer criar certificados.

O campo state mostra o status atual do certificado:

  • PROVISIONAMENTO: o certificado ainda está sendo provisionado. Isso provavelmente aconteceu porque a solicitação de criação do certificado foi feita recentemente.
  • FALHA: retornado após várias tentativas de validar o domínio ou emitir o certificado. Para mais detalhes, consulte os campos provisioning_issue, authorization_attempt_info e failure_reason.
  • ATIVO: o domínio foi validado com sucesso e o certificado foi provisionado.

Para verificar o status do certificado:

gcloud

Use o comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Neste exemplo, a autorização DNS é AUTHORIZED e o estado do certificado é ACTIVE:

createTime: '2021-02-07T20:03:39.867762684Z'
expireTime: '2021-03-09T19:20:41Z'
managed:
  authorizationAttemptInfo:
  - domain: DOMAIN_NAME
    state: AUTHORIZED
  dnsAuthorizations:
  - projects/111111111111/locations/global/dnsAuthorizations/test-example-com
  domains:
  - DOMAIN_NAME
  state: ACTIVE
name: projects/my-project/locations/global/certificates/test-example-com
scope: EDGE_CACHE
subjectAlternativeNames:
- DOMAIN_NAME
updateTime: '2021-02-07T20:03:40.297242738Z'

Depois que o certificado for ACTIVE, você poderá anexá-lo a um serviço de cache de borda.

Anexar um certificado a um serviço

Depois de criar um certificado gerenciado, você pode associá-lo a um ou mais serviços de cache de borda. É possível anexar certificados a serviços novos e atuais atualizando a lista de edgeSslCertificates no serviço.

Você precisa ter as seguintes permissões do IAM para anexar certificados a um serviço do Edge Cache:

  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.use
  • networkservices.edgeCacheServices.get
  • networkservices.edgeCacheServices.list
  • networkservices.edgeCacheServices.update

Para anexar um certificado a um serviço, siga estas etapas.

gcloud

Execute o comando gcloud edge-cache services export para exportar o arquivo YAML do serviço:

gcloud edge-cache services export MY_SERVICE \
    --destination=my-service.yaml

Edite o arquivo YAML exportado para adicionar seu certificado:

name: MY_SERVICE
edgeSslCertificates:
- projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME

Execute o comando gcloud edge-cache services import:

gcloud edge-cache services import MY_SERVICE \
    --source=my-service.yaml

Saída: 

Request issued for: [MY_SERVICE]
Updated service [MY_SERVICE]

O comando retorna uma descrição do seu serviço, incluindo a lista de edgeSslCertificates anexados:

  name: MY_SERVICE
  edgeSslCertificates:
  - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME

Depois de atualizar a configuração, o certificado é propagado para todos os locais de borda em minutos. Para testar se o certificado está associado ao seu serviço Edge Cache antes de fazer mudanças no DNS, emita uma solicitação para o endereço IPv4 ou IPv6 associado ao seu serviço.

Substituir e remover certificados

É possível adicionar e remover certificados atualizando a lista.

Ao usar a flag --edge-ssl-certificate da CLI gcloud, os certificados são apenas anexados à lista de certificados atuais, não substituídos. Isso evita que você remova um certificado válido e ativo por engano.

Para remover o certificado test-example-com do nosso serviço no exemplo a seguir, exporte o serviço para YAML usando os comandos de importação e exportação.

  name: my-service
  edgeSslCertificates:
  - projects/PROJECT_ID/locations/global/certificates/test-example-com
  - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME

Os comandos a seguir mostram como exportar o serviço, remover a referência do certificado e importar o serviço atualizado.

gcloud

Use o comando gcloud edge-cache services:

gcloud edge-cache services export MY_SERVICE --destination=my-service.yaml

Exported [projects/my-project/locations/global/edgeCacheServices/MY_SERVICE] to 'my-service.yaml'.

Remova os certificados que você não quer mais que o serviço use com seu editor de texto preferido:

  name: MY_SERVICE
  edgeSslCertificates:
  - projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME

Salve o arquivo modificado e importe o serviço atualizado:

gcloud

Use o comando gcloud edge-cache services:

gcloud edge-cache services import MY_SERVICE --source=my-service.yaml

Request issued for: [MY_SERVICE]
Updated service [MY_SERVICE].

Não há limite para o número de serviços que podem ser associados a um certificado, e cada serviço de armazenamento em cache de borda pode referenciar até cinco certificados.

Certificados autogerenciados

É possível fazer upload dos seus próprios certificados para a Media CDN se você tiver casos de uso específicos que exijam isso.

Para fazer upload de um certificado e da chave associada ao Gerenciador de certificados:

gcloud

Use o comando gcloud certificate-manager certificates. Especifique --scope=EDGE_CACHE para certificados associados ao Media CDN.

gcloud certificate-manager certificates create stream-example-com \
    --certificate-file=CERT.pem \
    --private-key-file=PRIVATE_KEY.pem \
    --scope=EDGE_CACHE

Create request issued for: [stream-example-com]
Created certificate [stream-example-com].

Depois que o certificado for enviado, será possível anexá-lo a um EdgeCacheService como faria com um certificado gerenciado.

Resolver problemas de emissão de certificados

Consulte o guia de solução de problemas para saber como resolver erros comuns de autorização e emissão de certificados.

A seguir