Certificados SSL (TLS)

Media CDN ofrece asistencia de primera clase para servir tráfico cifrado con TLS (HTTPS) desde tu propio nombre de dominio, así como para solicitudes firmadas. Media CDN se sirve desde tu propio dominio (Bring-Your-Own o dominio BYO) y no tiene que servirse desde un dominio alojado en Google.

  • No hay cargos adicionales asociados al servicio de tráfico SSL (TLS) ni a la obtención de certificados gestionados por Google: proteger el tráfico de los usuarios finales no debería tener un coste adicional.
  • Media CDN admite tanto certificados gestionados por Google, lo que permite a Google gestionar la rotación, las claves y la distribución segura a miles de nodos perimetrales, como certificados autogestionados (cargados).
  • Cada servicio puede admitir hasta 5 certificados SSL.
  • Cada certificado gestionado puede tener hasta 100 nombres (nombres alternativos del sujeto).

Te recomendamos que sirvas tu servicio Edge Cache desde nombres de host (subdominios) específicos y que utilices certificados gestionados independientes para tus dominios multimedia como práctica de seguridad recomendada.

Crear y emitir certificados

Para validar, emitir y adjuntar un certificado SSL (TLS) gestionado a un servicio de Media CDN, consulta el artículo sobre configuración de certificados SSL.

Tipos de certificados

Media CDN admite dos tipos de certificados:

  • Certificados gestionados, que Google puede aprovisionar en tu nombre para los nombres de dominio que poseas. No necesitas claves seguras y los certificados se renuevan automáticamente.
  • Certificados autogestionados, que se suben directamente a Gestor de certificados. Es tu responsabilidad subir un certificado válido y de confianza pública, así como sustituirlo antes de que caduque.

Como los certificados gestionados se pueden autorizar y emitir antes de dirigir el tráfico a Media CDN, puedes aprovisionar certificados antes de cambiar tu tráfico de producción y evitar el tiempo de inactividad.

En algunos casos, como cuando necesitas fijación de claves en aplicaciones móviles o compatibilidad con dispositivos antiguos con almacenes de confianza obsoletos, es posible que tengas que usar certificados autogestionados. También puedes usar certificados gestionados y autogestionados en el mismo servicio si tienes nombres de dominio (hosts) específicos que requieran certificados autogestionados.

Autorizar la emisión de certificados

La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados gestionados por Google incluso antes de que tu entorno de producción esté totalmente configurado. Esto es especialmente útil cuando migras certificados a Google Cloud.

Gestor de certificados verifica la propiedad del dominio mediante registros DNS. Cada autorización de DNS almacena información sobre un registro DNS y abarca un solo dominio y su comodín (por ejemplo, myorg.example.com y *.myorg.example.com). Un comodín solo abarca el primer nivel de subdominio y no los niveles de subdominio más profundos. Por ejemplo, *.myorg.example.com no cubre sub.subdomain.myorg.example.com.

Cuando creas un certificado gestionado por Google, puedes usar una o varias autorizaciones de DNS para aprovisionar y renovar certificados. Si tienes varios certificados para un mismo dominio, puedes usar la misma autorización de DNS para todos los certificados. Sin embargo, tus autorizaciones de DNS deben cubrir todos los dominios que figuren en el certificado. De lo contrario, no se podrán crear ni renovar certificados.

Para configurar la autorización de DNS, debes añadir un registro CNAME a tu configuración de DNS. Puedes usar este registro para validar el subdominio de tu dominio de destino. El registro CNAME apunta a un dominio especial Google Cloud que usa Certificate Manager para verificar la propiedad del dominio. Cuando creas una autorización de DNS, Certificate Manager devuelve este registro CNAME y verifica tu propiedad.

Recuerda que el registro CNAME también concede a Certificate Manager permiso para aprovisionar y renovar certificados del dominio de destino en tu proyectoGoogle Cloud . Para revocar estos permisos, quite el registro CNAME de su configuración de DNS.

Autorización de DNS por proyecto

La autorización de DNS por proyecto te permite gestionar los certificados de forma independiente en cada proyecto. Google Cloud Con la autorización de DNS por proyecto, Certificate Manager puede emitir y gestionar certificados para cada proyecto por separado. Las autorizaciones y los certificados de DNS que se usan en un proyecto son independientes y no interactúan con los artefactos de otros proyectos.

Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD al crear una autorización de DNS. A continuación, recibirás un CNAME registro único que incluye tanto un subdominio como un destino específico para ese proyecto. Debes añadir este registro CNAME a la zona DNS del dominio correspondiente.

Varios dominios por certificado

Los certificados emitidos por Certificate Manager te permiten especificar varios nombres de dominio (nombres de host) en el mismo certificado como nombres alternativos del sujeto.

Puedes añadir varios dominios a un certificado especificando una lista de dominios al crear un certificado, así como las autorizaciones correspondientes que sean necesarias.

Cada autorización solo cubre el dominio exacto (por ejemplo, video.example.com) y el comodín (*.example.com). No cubre ningún subdominio explícito. Por ejemplo, si quieres obtener un certificado para eu.video.example.com, debes configurar otra autorización de DNS para el dominio eu.video.example.com.

En los siguientes ejemplos se muestra cómo adjuntar una autorización para video.example.com y eu.video.example.com:

gcloud

Usa el comando gcloud certificate-manager certificates:

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

De esta forma, se crea un certificado con la autorización de DNS en el estado AUTHORIZING y el certificado en el estado PROVISIONING:

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

Los dominios no pueden compartir una autorización de DNS. Debes especificar varios dominios y autorizaciones. Gestor de certificados determina qué dominios requieren qué autorizaciones.

Para saber cómo se emiten y activan los certificados, consulta Configurar certificados SSL (TLS).

Renovación de certificados

Certificate Manager renueva automáticamente los certificados gestionados. Los certificados renovados se envían automáticamente al perímetro global de Google para cada servicio activo que hayas configurado.

  • Los certificados EDGE_CACHE tienen un periodo de validez corto (30 días) para mejorar la seguridad y el cumplimiento, en comparación con el estándar actual del sector, que es de 90 días (con un intervalo de renovación de 60 días).
  • La renovación del certificado suele iniciarse cuando faltan 10 días para que caduque.
  • No tienes que hacer nada cuando se renueva un certificado. El nuevo certificado sustituye automáticamente al anterior antes de la fecha de vencimiento, sin que esto afecte al tráfico real.

Como la canalización de emisión vuelve a validar el control del dominio antes de la renovación, asegúrate de no eliminar los registros DNS configurados para la autorización de DNS. Si eliminas el registro que se usa para demostrar la validación del control del dominio (DCV), no podrás renovar tus certificados y los clientes no podrán conectarse a través de HTTPS (TLS) cuando caduque el certificado.

Registros y raíces de CAA

Para comprobar la compatibilidad con dispositivos cliente, como smart TVs, smartphones y streaming boxes antiguos, puedes consultar el conjunto completo de CAs raíz que usa Google en pki.goog.

Para permitir que Certificate Manager y Media CDN emitan certificados para un dominio con registros CAA, añade el registro CAA pki.goog:

DOMAIN_NAME. CAA 0 issue "pki.goog"

Los dominios que no tengan registros CAA no tienen que añadir este registro, pero te recomendamos que lo hagas como práctica recomendada.

Más información sobre los registros CAA

Límites de certificados

Puedes emitir hasta 1000 certificados gestionados y 1000 autorizaciones de DNS por proyecto. Para consultar otros límites y cuotas relacionados, consulta la documentación sobre cuotas y límites .

Versiones de TLS admitidas

Media CDN admite las siguientes versiones de TLS:

Versión de TLS Compatible Cifrados incluidos
SSL 3.0 No N/A (no admitido)
TLS 1.0 No N/A (no admitido)
TLS 1.1 No N/A (no admitido)
TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.3 TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256

También tienes estas opciones:

  • Los dispositivos que no admiten versiones modernas de TLS (como TLS 1.3) negocian automáticamente una versión de TLS compatible.
  • TLS 1.2 es la versión mínima de TLS admitida por Media CDN.
  • Media CDN no admite la asociación de políticas de SSL a un servicio.

Solucionar problemas de emisión de certificados

Si tienes algún problema con la emisión de certificados, consulta cómo solucionar problemas con la emisión de certificados.

Siguientes pasos