Solicita un certificado con una plantilla de certificado

En esta página, se describe cómo solicitar un certificado usando un plantilla de certificado.

Las plantillas de certificados te permiten implementar controles de políticas detallados sobre la emisión de certificados. Por ejemplo, puedes usar plantillas de certificados para estandarizar la emisión de certificados TLS del servidor entre los grupos de AC de tu organización. O bien, puedes usar plantillas de certificados para aplicar políticas a un nivel más detallado, como en cuanto a usuarios específicos. Esto es útil en situaciones en las que necesitas restringir los tipos de certificados que pueden emitir diferentes personas. También puedes reutilizar las plantillas para situaciones de emisión comunes.

Antes de comenzar

  1. Prepara tu entorno para CA Service.

  2. Para obtener los permisos que necesitas para emitir certificados con una plantilla de certificados, pide a tu administrador que te otorgue el rol de IAM Usuario de plantillas de certificados del servicio de AC (roles/privateca.templateUser) en la plantilla de certificados.

    Para obtener más información sobre los roles de IAM predefinidos para el servicio de AC, consulta Control de acceso con IAM.

    Para obtener información sobre cómo otorgar un rol de IAM a una principal, consulta cómo otorgar un solo rol.

Probar la emisión de certificados

Antes de usar una plantilla de certificado para solicitar un certificado firmado, te recomendamos que verifiques la capacidad de la plantilla de certificado para generar correctamente una certificado. La emisión del certificado falla cuando existe un conflicto entre la AC las políticas de emisión del grupo y las políticas de la plantilla del certificado. Cuando se prueba la emisión, para que puedas identificarlos y resolverlos proactivamente. Ten en cuenta que los certificados de prueba no están codificados con PEM, no están firmados y no generan cargos por su generación.

Para probar la emisión de certificados con una plantilla de certificado, sigue estos pasos:

Console

  1. Ve a la página Certificate Authority Service en la consola de Google Cloud.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Template Manager.

  3. Haz clic en la plantilla de certificado que deseas probar. Aparecerá la página Detalles de la plantilla.

  4. Para crear una solicitud de prueba, haz clic en Crear certificado y, luego, en Emisión de certificados de prueba. Aparecerá el formulario de solicitud de certificado.

  5. Especifica los siguientes detalles que se requieren para crear una solicitud de certificado:

    • Región: Es la ubicación del certificado. Debe ser la misma que la ubicación del grupo de AC.
    • Grupo de AC: Es el grupo de AC responsable de emitir el certificado.
    • Plantilla de certificado: Es la plantilla que deseas usar para la emisión de certificados.
    • Dominio: Es el nombre de dominio del sitio que deseas proteger con un certificado SSL o TLS.

  6. Haz clic en Generar certificado.

  7. Después de crear el certificado, haz clic en Ver. El certificado de prueba o muestra se muestra en la misma página en un panel independiente.

  8. Si la emisión del certificado falla debido a conflictos, resuélvelos y envía la prueba para volver a solicitar un certificado de la organización.

Emite certificados con una plantilla de certificado

Para emitir un certificado firmado con una plantilla de certificado, haz lo siguiente:

Console

  1. Ve a la página Certificate Authority Service en la consola de Google Cloud.

    Ir a Certificate Authority Service}

  2. Haz clic en la pestaña Template Manager.

  3. En la página Plantillas de certificados, haz clic en la plantilla de certificado que deseas usar. Aparecerá la página Detalles de la plantilla.

  4. Haga clic en Crear certificado.

  5. Selecciona una región. Esta región debe ser la misma que la región del grupo de AC que quieres usar.

  6. Selecciona el grupo de AC.

  7. Para generar un certificado con una solicitud de firma de certificado (CSR), consulta Cómo solicitar un certificado con una CSR.

  8. Para generar un certificado con una clave generada automáticamente, consulta Cómo solicitar un certificado con una clave generada automáticamente.

Genera el certificado

  1. Haz clic en Generar certificado. Si el certificado se genera correctamente, aparecerá un mensaje.
  2. Para ver el certificado generado, haz clic en Ver certificado y, luego, en Ver.

Opcional: Descarga el certificado firmado

  1. Para descargar la cadena de certificados con codificación PEM, haz clic en Descarga la cadena de certificados.
  2. Para descargar la clave privada con codificación PEM asociada, haz clic en Descarga la clave privada.

gcloud

Para emitir un certificado con una plantilla de certificado, agrega la marca --template al comando gcloud privateca certificates create en el siguiente formato:

--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE

Reemplaza CERTIFICATE_TEMPLATE por el nombre de la plantilla de certificado que deseas usar para emitir este certificado. La plantilla especificada debe estar en el en la misma ubicación que el grupo de AC emisor. Consulta las muestras proporcionadas para genera certificados DNS de prueba y genera certificados de producción para obtener más información.

Terraform

/**
 * Copyright 2022 Google LLC
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

resource "google_privateca_certificate_template" "template" {
  location    = "us-central1"
  name        = "my-certificate-template"
  description = "An updated sample certificate template"

  identity_constraints {
    allow_subject_alt_names_passthrough = true
    allow_subject_passthrough           = true

    cel_expression {
      description = "Always true"
      expression  = "true"
      location    = "any.file.anywhere"
      title       = "Sample expression"
    }
  }

  passthrough_extensions {
    additional_extensions {
      object_id_path = [1, 6]
    }

    known_extensions = ["EXTENDED_KEY_USAGE"]
  }

  predefined_values {
    additional_extensions {
      object_id {
        object_id_path = [1, 6]
      }

      value    = "c3RyaW5nCg=="
      critical = true
    }

    aia_ocsp_servers = ["string"]

    ca_options {
      is_ca                  = false
      max_issuer_path_length = 6
    }

    key_usage {
      base_key_usage {
        cert_sign          = false
        content_commitment = true
        crl_sign           = false
        data_encipherment  = true
        decipher_only      = true
        digital_signature  = true
        encipher_only      = true
        key_agreement      = true
        key_encipherment   = true
      }

      extended_key_usage {
        client_auth      = true
        code_signing     = true
        email_protection = true
        ocsp_signing     = true
        server_auth      = true
        time_stamping    = true
      }

      unknown_extended_key_usages {
        object_id_path = [1, 6]
      }
    }

    policy_ids {
      object_id_path = [1, 6]
    }
  }
}

resource "google_privateca_certificate_authority" "test_ca" {
  pool                     = "my-pool"
  certificate_authority_id = "my-certificate-authority-test-ca"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-certificate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        # is_ca *MUST* be true for certificate authorities
        is_ca = true
      }
      key_usage {
        base_key_usage {
          # cert_sign and crl_sign *MUST* be true for certificate authorities
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
          server_auth = false
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}


resource "google_privateca_certificate" "default" {
  pool                  = "my-pool"
  location              = "us-central1"
  certificate_authority = google_privateca_certificate_authority.test_ca.certificate_authority_id
  lifetime              = "860s"
  name                  = "my-certificate-from-template"
  pem_csr               = tls_cert_request.example.cert_request_pem
  certificate_template  = google_privateca_certificate_template.template.id
}

resource "tls_private_key" "example" {
  algorithm = "RSA"
}

resource "tls_cert_request" "example" {
  private_key_pem = tls_private_key.example.private_key_pem

  subject {
    common_name  = "example.com"
    organization = "ACME Examples, Inc"
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Para compartir un vínculo al formulario de solicitud de certificado con otras personas de tu organización, solicitar un certificado con los mismos parámetros, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la pestaña Administrador de grupos de AC y haz clic en Compartir vínculo del formulario de solicitud.
  2. En el panel Share request form link que aparece, selecciona el grupo de AC y la plantilla de certificado que elegiste para crear tu solicitud. El se mostrará el vínculo de solicitud de certificado.
  3. Copia el vínculo y compártelo según sea necesario.

Cómo resolver conflictos de políticas

Las solicitudes de certificado fallan con un error de argumento no válido cuando hay un conflicto entre la política de emisión del grupo de AC y la plantilla del certificado. Por ejemplo, si la misma extensión (como el uso de clave base) se define en los valores de referencia del grupo de AC y los valores predefinidos de la plantilla de certificado. O bien cuando una política tiene restricciones de extensión que excluyen una extensión específica y la otra política define un valor para esa extensión en sus valores de referencia.

Para ver y resolver los conflictos de políticas, sigue estos pasos:

Console

  1. Haz clic en el vínculo del solucionador de problemas de políticas de emisión que se muestra con el mensaje de error. Aparecerá una página del solucionador de problemas en la que puedes comparar los valores de referencia y las restricciones de extensión de la política de emisión del grupo de AC con los valores de referencia y las restricciones de extensión de la política de la plantilla de certificado. Observa que los conflictos de políticas están destacados.
  2. Accede al grupo de AC o a la plantilla del certificado para actualizar los valores en conflicto y resolver el conflicto.
  3. Una vez que se resuelva el conflicto, vuelve a enviar la solicitud de certificado.

Cómo ver los certificados emitidos con una plantilla

Para ver los certificados emitidos con una plantilla de certificado, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la pestaña Template Manager.
  2. Haz clic en la plantilla de certificado que usaste para la emisión de certificados.
  3. En la página Detalles de la plantilla, haz clic en Certificados. Se muestra la lista de certificados emitidos con la plantilla de certificado seleccionada.

¿Qué sigue?