安全資料傳輸層 (SSL) (傳輸層安全標準 (TLS)) 憑證

Media CDN 提供一流的支援，可透過您自己的網域名稱放送 TLS 加密 (HTTPS) 流量，並支援已簽署的要求。媒體 CDN 會從您自有的網域 (自備或 BYO 網域)提供服務，不必從 Google 代管的網域提供服務。

• 提供 SSL (TLS) 流量或取得 Google 代管憑證不會產生額外費用：保護使用者流量不應收取額外費用。
• Media CDN 支援 Google 代管憑證，讓 Google 管理輪替、金鑰和安全分發至數千個邊緣節點，以及自行管理 (上傳) 憑證。
• 每項服務最多可支援 5 個 SSL 憑證。
• 每個受管理憑證最多可有 100 個名稱 (Subject Alternative Names)。

我們建議您使用專屬主機名稱 (子網域) 提供 Edge Cache 服務，並為媒體網域使用個別的受管理憑證，以確保安全。

建立及核發憑證

如要驗證、核發並將代管安全資料傳輸層 (SSL) (傳輸層安全標準 (TLS)) 憑證附加至 Media CDN 服務，請參閱「設定 SSL 憑證」一文。

憑證類型

Media CDN 支援兩種憑證：

• 代管憑證：Google 可為您擁有的網域名稱佈建憑證。您不需要安全金鑰，且憑證會自動續約。
• 自行管理的憑證：您直接上傳至憑證管理工具。您有責任上傳有效且受大眾信賴的憑證，並在憑證到期前更換憑證。

由於您可以在將流量導向 Media CDN 之前授權並核發代管憑證，因此可以先佈建憑證，再切換實際執行環境中的流量，避免服務中斷。

在某些情況下，例如需要在行動應用程式中使用金鑰綁定，或是支援使用過時信任存放區的舊版裝置，您可能需要使用自行管理的憑證。如果您有需要自行管理憑證的特定網域名稱 (主機)，也可以在同一項服務中同時使用代管和自行管理的憑證。

授權核發憑證

您可以在實際工作環境尚未完全設定完成前，透過 DNS 授權驗證網域擁有權，並佈建 Google 管理的憑證。這在將憑證遷移至 Google Cloud時特別實用。

憑證管理工具會透過 DNS 記錄驗證網域擁有權。每個 DNS 授權都會儲存 DNS 記錄的相關資訊，並涵蓋單一網域及其萬用字元 (例如 myorg.example.com 和 *.myorg.example.com)。萬用字元只涵蓋第一個子網域層級，不涵蓋更深層的子網域層級。例如，*.myorg.example.com 不涵蓋 sub.subdomain.myorg.example.com。

建立 Google 代管的憑證時，您可以使用一或多個 DNS 授權來佈建及續購憑證。如果單一網域有多個憑證，您可以為所有憑證使用相同的 DNS 授權。不過，DNS 授權必須涵蓋憑證中列出的所有網域；如果不涵蓋，則建立和續發憑證會失敗。

如要設定 DNS 授權，您必須在 DNS 設定中新增 CNAME 記錄。您可以使用這個記錄驗證目標網域下的子網域。CNAME 記錄會指向 Certificate Manager 用來驗證網域擁有權的特殊 Google Cloud 網域。建立 DNS 授權時，憑證管理工具會傳回這個 CNAME 記錄，並驗證您的擁有權。

請注意，CNAME 記錄也會授予憑證管理工具在Google Cloud 專案中為目標網域設定和續訂憑證的權限。如要撤銷這些權限，請從 DNS 設定中移除 CNAME 記錄。

依專案 DNS 授權

依專案 DNS 授權可讓您在各 Google Cloud 專案中獨立管理憑證。使用個別專案 DNS 授權，憑證管理工具就能分別為每個專案核發及處理憑證。專案中使用的 DNS 授權和憑證是自給自足的，不會與其他專案的構件互動。

如要啟用個別專案的 DNS 授權，請在建立 DNS 授權時選擇 PER_PROJECT_RECORD 選項。接著，您會收到不重複的 CNAME 記錄，其中包含子網域和專屬於該專案的目標。您應將此 CNAME 記錄新增至相關網域的 DNS 區域。

每個憑證的多個網域

憑證管理工具核發的憑證可讓您在同一個憑證中指定多個網域名稱 (主機名稱) 做為主體別名。

您可以在建立憑證時指定網域清單，以及任何需要的對應授權，藉此將多個網域新增至憑證。

每個授權只涵蓋確切的網域 (例如 video.example.com) 和萬用字元 (*.example.com)，不涵蓋任何明確的子網域。舉例來說，如果您想要取得 eu.video.example.com 的憑證，就必須為 eu.video.example.com 網域設定另一個 DNS 授權。

以下範例說明如何為 video.example.com 和 eu.video.example.com 附加授權：

gcloud certificate-manager certificates create video-example-com \
    --domains="video.example.com,eu.video.example.com" \
    --dns-authorizations="video-example-com-auth,eu-video-example-com-auth" \
    --scope=EDGE_CACHE

managed:
authorizationAttemptInfo:
- domain: video.example.com
  state: AUTHORIZED
dnsAuthorizations:
- projects/123456/locations/global/dnsAuthorizations/video-example-com-auth
- projects/123456/locations/global/dnsAuthorizations/eu-video-example-com-auth
domains:
- video.example.com
state: PROVISIONING
scope: EDGE_CACHE
subjectAlternativeNames:
- video.example.com

網域無法共用 DNS 授權。您必須指定多個網域和授權。憑證管理工具會判斷哪些網域需要哪些授權。

如要瞭解如何核發及啟用憑證，請參閱「設定 SSL (TLS) 憑證」。

憑證續約

由 Certificate Manager 自動更新管理式憑證。系統會自動將已續約的憑證推送至 Google 全球邊緣，適用於您已設定的每項有效服務。

• EDGE_CACHE 憑證的有效期限較短 (30 天)，可提升安全性和法規遵循性，而非目前業界標準的 90 天 (60 天續約間隔)。
• 憑證通常會在到期日的 10 天前開始續約。
• 您不需要在憑證到期前採取任何行動，因為新憑證會在到期日前自動取代現有憑證，不會影響您的實際流量。

由於核發管道會在續約前重新驗證網域控制權，請務必不要刪除為 DNS 授權而設定的 DNS 記錄。刪除用於證明 DCV (網域控管驗證) 的記錄，會導致無法續訂憑證，並在憑證到期時，阻止用戶端透過 HTTPS (TLS) 連線。

CAA 記錄和根

如要檢查與用戶端裝置的相容性，包括舊款智慧型電視、智慧型手機和串流盒，請前往 pki.goog 查看 Google 使用的完整根憑證授權單位組合。

如要讓憑證管理工具和媒體 CDN 為具有現有 CAA 記錄的網域核發憑證，請新增 pki.goog CAA 記錄：

DOMAIN_NAME. CAA 0 issue "pki.goog"

沒有現有 CAA 記錄的網域不需要新增此記錄，但我們建議您採用這個最佳做法。

進一步瞭解 CAA 記錄。

憑證限制

每個專案最多可核發 1,000 張代管憑證和 1,000 個 DNS 授權。如需瞭解其他相關限制和配額，請參閱「配額與限制」說明文件。

支援的 TLS 版本

Media CDN 支援下列 TLS 版本：

此外：

• 如果裝置不支援最新的 TLS 版本 (例如 TLS 1.3)，就會自動協商支援的 TLS 版本。
• TLS 1.2 是 Media CDN 支援的最低 TLS 版本。
• Media CDN 不支援將 SSL 政策附加至服務。

排解憑證核發問題

如果您在憑證核發作業中遇到任何錯誤，請參閱排解憑證核發問題。

後續步驟

• 請參閱「設定 SSL 憑證」。
• 瞭解用戶端連線和通訊協定支援功能。
• 查看 SSL (TLS) 連線如何連線至來源。