Media CDN bietet erstklassige Unterstützung für die Bereitstellung von TLS-verschlüsseltem Traffic (HTTPS) von Ihrem eigenen Domainnamen sowie Unterstützung für signierte Anfragen. Media CDN wird von Ihrer eigenen Domain (Bring-Your-Own- oder BYO-Domain) bereitgestellt und muss nicht über eine von Google gehostete Domain bereitgestellt werden.
- Für die Bereitstellung von SSL/TLS-Traffic oder das Abrufen von Google-verwalteten Zertifikaten fallen keine zusätzlichen Gebühren an: Der Schutz des Endnutzer-Traffics sollte nicht zu einem Aufpreis führen.
- Media CDN unterstützt sowohl von Google verwaltete Zertifikate, mit denen Google die Rotation, die Schlüssel und die sichere Verteilung an Tausende von Edge-Knoten verwalten kann, als auch selbst verwaltete (hochgeladene) Zertifikate.
- Jeder Dienst kann bis zu fünf SSL-Zertifikate unterstützen.
- Jedes verwaltete Zertifikat kann bis zu 100 Namen haben (Alternative Antragstellernamen).
Wir empfehlen, den Edge Cache-Dienst über dedizierte Hostnamen (Subdomains) bereitzustellen und separate verwaltete Zertifikate für Ihre Mediendomains zu verwenden.
Zertifikate erstellen und ausstellen
Informationen zum Validieren, Ausstellen und Anhängen eines verwalteten SSL/TLS-Zertifikats an einen Media CDN-Dienst finden Sie unter SSL-Zertifikate konfigurieren.
Zertifikat-Typen
Media CDN unterstützt zwei Arten von Zertifikaten:
- Verwaltete Zertifikate, die Google in Ihrem Namen für Domainnamen bereitstellen kann. Sie benötigen keine Sicherheitsschlüssel und Zertifikate werden automatisch verlängert.
- Selbstverwaltete Zertifikate, die Sie direkt in den Zertifikatmanager hochladen. Sie sind dafür verantwortlich, ein gültiges, öffentlich vertrauenswürdiges Zertifikat hochzuladen und das Zertifikat vor Ablauf zu ersetzen.
Da verwaltete Zertifikate vor der Weiterleitung des Traffics an Media CDN autorisiert und ausgestellt werden können, können Sie Zertifikate bereitstellen, bevor Sie Ihren Produktionstraffic umstellen, und Ausfallzeiten vermeiden.
In einigen Fällen, z. B. wenn Sie Key-Pinning in mobilen Anwendungen oder Unterstützung für ältere Geräte mit veralteten Trust Stores benötigen, müssen Sie möglicherweise selbstverwaltete Zertifikate verwenden. Sie können auch sowohl verwaltete als auch selbstverwaltete Zertifikate für denselben Dienst verwenden, wenn Sie bestimmte Domainnamen (Hosts) haben, die selbstverwaltete Zertifikate erfordern.
Zertifikatsausstellung autorisieren
Mit der DNS-Autorisierung können Sie die Domaininhaberschaft bestätigen und von Google verwaltete Zertifikate bereitstellen, noch bevor Ihre Produktionsumgebung vollständig eingerichtet ist. Das ist besonders nützlich, wenn Sie Zertifikate zu Google Cloud migrieren.
Certificate Manager bestätigt die Domaininhaberschaft über DNS-Einträge. Jede DNS-Autorisierung speichert Informationen über den DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen für die Bereitstellung und Verlängerung von Zertifikaten verwenden. Wenn Sie mehrere Zertifikate für eine einzelne Domain haben, können Sie für alle dieselbe DNS-Autorisierung verwenden. Ihre DNS-Autorisierungen müssen jedoch alle im Zertifikat aufgeführten Domains abdecken. Andernfalls schlägt das Erstellen und Verlängern von Zertifikaten fehl.
Wenn Sie eine DNS-Autorisierung einrichten möchten, müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag hinzufügen. Dieser Eintrag wird zum Validieren der Subdomain unter Ihrer Zieldomain verwendet. Der CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird. Wenn Sie eine DNS-Autorisierung erstellen, gibt Certificate Manager diesen CNAME-Eintrag zurück und bestätigt Ihre Inhaberschaft.
Denken Sie daran, dass der CNAME-Eintrag Certificate Manager auch die Berechtigung zum Bereitstellen und Verlängern von Zertifikaten für die Zieldomain in Ihrem Google Cloud-Projekt gewährt. Entfernen Sie den CNAME-Eintrag aus Ihrer DNS-Konfiguration, um diese Berechtigungen zu widerrufen.
Projektspezifische DNS-Autorisierung
Mit der projektspezifischen DNS-Autorisierung können Sie Zertifikate unabhängig in jedem Google Cloud-Projekt verwalten. Mit einer pro Projekt gültigen DNS-Autorisierung kann Certificate Manager Zertifikate für jedes Projekt separat ausstellen und verwalten. Die DNS-Autorisierungen und ‑Zertifikate, die in einem Projekt verwendet werden, sind in sich geschlossen und interagieren nicht mit Artefakten aus anderen Projekten.
Wenn Sie eine projektspezifische DNS-Autorisierung aktivieren möchten, wählen Sie beim Erstellen einer DNS-Autorisierung die Option PER_PROJECT_RECORD aus. Sie erhalten dann einen eindeutigen CNAME-Eintrag, der sowohl eine Subdomain als auch ein für dieses Projekt spezifisches Ziel enthält. Dieser CNAME-Eintrag sollte der DNS-Zone der entsprechenden Domain hinzugefügt werden.
Mehrere Domains pro Zertifikat
Vom Zertifikatmanager ausgestellte Zertifikate ermöglichen die Angabe mehrerer Domainnamen (Hostnamen) im selben Zertifikat als Alternative Antragstellernamen.
Sie können einem Zertifikat mehrere Domains hinzufügen. Geben Sie dazu beim Erstellen des Zertifikats eine Liste der Domains sowie alle erforderlichen Autorisierungen an.
Jede Autorisierung deckt nur die genaue Domain (z. B. video.example.com) und den Platzhalter (*.example.com) ab. Es werden keine expliziten Subdomains abgedeckt. Wenn Sie beispielsweise ein Zertifikat für eu.video.example.com verwenden möchten, müssen Sie eine weitere DNS-Autorisierung für die Domain eu.video.example.com einrichten.
Die folgenden Beispiele zeigen, wie Sie eine Autorisierung für video.example.com und eu.video.example.com anhängen:
gcloud
Führen Sie den Befehl gcloud certificate-manager certificates aus:
gcloud certificate-manager certificates create video-example-com \
--domains="video.example.com,eu.video.example.com" \
--dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
--scope=EDGE_CACHE
Dadurch wird ein Zertifikat mit der DNS-Autorisierung im Status AUTHORIZING und das Zertifikat im Status PROVISIONING erstellt:
managed: authorizationAttemptInfo: - domain: video.example.com state: AUTHORIZED dnsAuthorizations: - projects/123456/locations/global/dnsAuthorizations/video-example-com-auth - projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth domains: - video.example.com state: PROVISIONING scope: EDGE_CACHE subjectAlternativeNames: - video.example.com
Domains können keine DNS-Autorisierung freigeben. Sie müssen mehrere Domains und Autorisierungen angeben. Certificate Manager ermittelt, welche Domains welche Autorisierungen erfordern.
Informationen zum Ausstellen und Aktivieren von Zertifikaten finden Sie unter SSL-Zertifikate konfigurieren.
Zertifikatverlängerung
Verwaltete Zertifikate werden automatisch von Certificate Manager verlängert. Verlängerte Zertifikate werden automatisch für jeden aktiven Dienst, den Sie konfiguriert haben, an das globale Edge-Netzwerk von Google übertragen.
EDGE_CACHE-Zertifikate haben eine kurze Gültigkeitsdauer (30 Tage), um die Sicherheit und Compliance zu verbessern, im Vergleich zum aktuellen Industriestandard von 90 Tagen (mit einem Verlängerungsintervall von 60 Tagen).- Die Verlängerung des Zertifikats wird normalerweise gestartet, wenn das Zertifikat 10 Tage nach Ablauf abläuft.
- Sie müssen nichts unternehmen, wenn ein Zertifikat verlängert wird. Das neue Zertifikat ersetzt das vorhandene Zertifikat automatisch vor dem Ablaufdatum, ohne Auswirkungen auf den Live-Traffic.
Da die Ausstellungspipeline die Domainsteuerung vor der Verlängerung neu validiert, müssen Sie darauf achten, dass Sie die für die DNS-Autorisierung konfigurierten DNS-Einträge nicht löschen. Wenn Sie den Eintrag zum Demonstrieren der DCV (Domain Control Validation – Validierung der Bereichskontrolle) löschen, können Ihre Zertifikate nicht verlängert werden und es wird verhindert, dass Clients über HTTPS (TLS) eine Verbindung herstellen, wenn das Zertifikat abläuft.
CAA-Einträge und Roots
Um die Kompatibilität mit Client-Geräten, einschließlich älterer Smart-TVs, Smartphones und Streaming-Boxen, zu prüfen, finden Sie die vollständige Liste der von Google verwendeten Root-CAs unter pki.goog.
Damit Zertifikatmanager und Media CDN Zertifikate für eine Domain mit vorhandenen CAA-Einträgen ausstellen können, fügen Sie den CAA-Eintrag pki.goog hinzu:
DOMAIN_NAME. CAA 0 issue "pki.goog"
Domains, die noch keine CAA-Einträge haben, müssen diesen Eintrag nicht hinzufügen, aber wir empfehlen es als Best Practice.
Weitere Informationen zu CAA-Einträgen.
Zertifikatlimits
Sie können bis zu 1.000 verwaltete Zertifikate und 1.000 DNS-Autorisierungen pro Projekt ausstellen. Weitere zugehörige Limits und Kontingente finden Sie in der Dokumentation zu Kontingente und Limits.
Unterstützte TLS-Versionen
Media CDN unterstützt die folgenden TLS-Versionen:
| TLS-Version | Unterstützt | Enthaltene Chiffren |
|---|---|---|
| SSL 3.0 | Nein | – (nicht unterstützt) |
| TLS 1.0 | Nein | – (nicht unterstützt) |
| TLS 1.1 | Nein | – (nicht unterstützt) |
| TLS 1.2 | ✔ | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.3 | ✔ | TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256 |
Außerdem:
- Geräte, die moderne TLS-Versionen (z. B. TLS 1.3) nicht unterstützen, handeln automatisch eine unterstützte TLS-Version aus.
- TLS 1.2 ist die unterstützte Mindestversion für Media CDN.
- Media CDN unterstützt das Anhängen von SSL-Richtlinien an einen Dienst nicht.
Fehlerbehebung bei der Ausstellung von Zertifikaten
Wenn bei der Ausstellung von Zertifikaten Fehler auftreten, lesen Sie den Hilfeartikel Fehler bei der Ausstellung von Zertifikaten beheben.
Nächste Schritte
- Lesen Sie SSL-Zertifikate konfigurieren.
- Informieren Sie sich über die Clientkonnektivität und die Protokollunterstützung.
- Prüfen Sie, wie SSL/TLS-Verbindungen zu Ihren Ursprüngen hergestellt werden.