Solicita un certificado con una plantilla de certificado
En esta página, se describe cómo solicitar un certificado con una plantilla de certificado.
Las plantillas de certificados te permiten implementar controles de políticas detallados sobre la emisión de certificados. Por ejemplo, puedes usar plantillas de certificados para estandarizar la emisión de certificados TLS del servidor en todos los grupos de CA de tu organización. También puedes usar plantillas de certificados para aplicar políticas a un nivel más detallado, como a usuarios específicos. Esto es útil en situaciones en las que necesitas restringir los tipos de certificados que pueden emitir diferentes personas. También puedes reutilizar plantillas para situaciones comunes de emisión.
Antes de comenzar
Para obtener los permisos que necesitas para emitir certificados con una plantilla de certificado, pídele a tu administrador que te otorgue el rol de IAM de usuario de plantillas de certificados del Servicio de CA (
roles/privateca.templateUser
) en la plantilla de certificado.Para obtener más información sobre los roles de IAM predefinidos para el servicio de CA, consulta Control de acceso con IAM.
Para obtener información sobre cómo otorgar un rol de IAM a un principal, consulta Otorga un solo rol.
Probar la emisión de certificados
Antes de usar una plantilla de certificado para solicitar un certificado firmado, te recomendamos que verifiques si la plantilla de certificado puede generar un certificado correctamente. La emisión de certificados falla cuando hay un conflicto entre las políticas de emisión del grupo de la AC y las políticas de la plantilla de certificado. Si pruebas la emisión, puedes identificar y resolver estos conflictos de forma proactiva. Ten en cuenta que los certificados de prueba no están codificados con PEM, no están firmados y no generan cargos por su creación.
Para probar la emisión de certificados con una plantilla de certificado, sigue estos pasos:
Console
Ve a la página Certificate Authority Service en la consola de Google Cloud .
Haz clic en la pestaña Administrador de plantillas.
Haz clic en la plantilla de certificado que deseas probar. Aparecerá la página Detalles de la plantilla.
Para crear una solicitud de prueba, haz clic en Crear certificado y, luego, en Probar la emisión de certificados. Aparecerá el formulario de solicitud de certificado.
Especifica los siguientes detalles necesarios para crear una solicitud de certificado:
- Región: Es la ubicación del certificado. Debe ser la misma que la ubicación del grupo de CA.
- Grupo de CA: Es el grupo de CA responsable de emitir el certificado.
- Plantilla de certificado: Es la plantilla que deseas usar para la emisión de certificados.
- Dominio: Es el nombre de dominio del sitio que deseas proteger con un certificado SSL o TLS.
Haz clic en Generar certificado.
Después de crear el certificado, haz clic en Ver. El certificado de prueba o muestra se muestra en la misma página en un panel separado.
Si falla la emisión del certificado debido a conflictos, resuelve los conflictos y vuelve a enviar la solicitud del certificado de prueba.
Emite certificados con una plantilla de certificado
Para emitir un certificado firmado con una plantilla de certificado, haz lo siguiente:
Console
Ve a la página Certificate Authority Service en la consola de Google Cloud .
Haz clic en la pestaña Administrador de plantillas.
En la página Plantillas de certificados, haz clic en la plantilla de certificado que quieras usar. Aparecerá la página Detalles de la plantilla.
Haga clic en Crear certificado.
Selecciona una región. Esta región debe ser la misma que la del grupo de AC que deseas usar.
Selecciona el grupo de CA.
Para generar un certificado con una solicitud de firma de certificado (CSR), consulta Cómo solicitar un certificado con una CSR.
Para generar un certificado con una clave generada automáticamente, consulta Cómo solicitar un certificado con una clave generada automáticamente.
Genera el certificado
- Haz clic en Generar certificado. Si el certificado se genera correctamente, se mostrará un mensaje.
- Para ver el certificado generado, haz clic en Ver certificado y, luego, en Ver.
Opcional: Descarga el certificado firmado
- Para descargar la cadena de certificados con codificación PEM, haz clic en Descargar la cadena de certificados.
- Para descargar la clave privada asociada con codificación PEM, haz clic en Descargar clave privada.
gcloud
Para emitir un certificado con una plantilla de certificado, agrega la marca --template
al comando gcloud privateca certificates create
con el siguiente formato:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Reemplaza CERTIFICATE_TEMPLATE por el nombre de la plantilla de certificado que deseas usar para emitir este certificado. La plantilla especificada debe estar en la misma ubicación que el grupo de CA de emisión. Consulta las muestras proporcionadas para generar certificados DNS de prueba y generar certificados de producción para obtener más información.
Terraform
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
Es posible que falle una solicitud de certificado si se detecta un conflicto de políticas entre la política de emisión del grupo de la CA y la plantilla de certificado. Cuando esto sucede, debes resolver el conflicto de políticas antes de volver a enviar la solicitud de certificado.
Comparte un vínculo de solicitud de certificado
Para compartir un vínculo al formulario de solicitud de certificado con otras personas de tu organización para que puedan solicitar un certificado con los mismos parámetros, haz lo siguiente:
Console
- En la consola de Google Cloud , ve a la pestaña Administrador de grupos de CA y haz clic en Compartir vínculo del formulario de solicitud.
- En el panel Vínculo al formulario para crear una solicitud que aparece, selecciona el grupo de CA y la plantilla de certificado que elegiste para crear tu solicitud. Se muestra el vínculo de la solicitud de certificado.
- Copia el vínculo y compártelo según sea necesario.
Cómo ver los certificados emitidos con una plantilla
Para ver los certificados emitidos con una plantilla de certificado, haz lo siguiente:
Console
- En la consola de Google Cloud , ve a la pestaña Administrador de plantillas.
- Haz clic en la plantilla de certificado que usaste para emitir el certificado.
- En la página Detalles de la plantilla, haz clic en Certificados. Se muestra la lista de certificados emitidos con la plantilla de certificado seleccionada.
¿Qué sigue?
- Obtén más información para ver los certificados emitidos.