Solicita un certificado con una plantilla de certificado
En esta página, se describe cómo solicitar un certificado mediante una plantilla de certificado.
Las plantillas de certificado te permiten implementar controles de políticas detallados en la emisión de certificados. Por ejemplo, puedes usar plantillas de certificados para estandarizar la emisión de certificados TLS del servidor en los grupos de AC de tu organización. O bien, puedes usar las plantillas de certificado para aplicar políticas a un nivel más detallado, como a usuarios específicos. Esto es útil en situaciones en las que necesitas restringir los tipos de certificados que pueden emitir las distintas personas. También puedes reutilizar plantillas para situaciones de emisión comunes.
Antes de comenzar
A fin de obtener los permisos que necesitas para emitir certificados con una plantilla de certificado, pídele a tu administrador que te otorgue la función de IAM Usuario de plantilla de certificado del servicio de CA (
roles/privateca.templateUser
) en la plantilla del certificado.Si deseas obtener más información sobre las funciones predefinidas de IAM para el servicio de CA, consulta Control de acceso con la IAM.
Para obtener más información sobre cómo otorgar un rol de IAM a una principal, consulta Otorga un solo rol.
Probar la emisión de certificados
Antes de usar una plantilla de certificado para solicitar un certificado firmado, te recomendamos que verifiques la capacidad de la plantilla de certificado para generar un certificado de forma correcta. La emisión del certificado falla cuando existe un conflicto entre las políticas de emisión del grupo de AC y las políticas de la plantilla del certificado. Cuando pruebas la emisión, puedes identificar y resolver de manera proactiva estos conflictos. Ten en cuenta que los certificados de prueba no tienen codificación PEM, no están firmados y no generan cargos por su generación.
Para probar la emisión de certificados con una plantilla de certificado, sigue estos pasos:
Console
Ve a la página Certificate Authority Service (Servicio de autoridad certificadora) en la consola de Google Cloud.
Haz clic en la pestaña Template Manager.
Haz clic en la plantilla de certificado que quieres probar. Aparecerá la página Detalles de la plantilla.
Para crear una solicitud de prueba, haz clic en Crear certificado y, luego, en Emisión de certificados de prueba. Aparecerá el formulario de solicitud de certificado.
Especifica los siguientes detalles necesarios para crear una solicitud de certificado:
- Región: ubicación del certificado. Debe ser la misma que la ubicación del grupo de AC.
- Grupo de AC: Es el grupo de AC responsable de emitir el certificado.
- Plantilla de certificado: la plantilla que deseas usar para la emisión de certificados.
- Dominio: el nombre de dominio del sitio que deseas proteger con un certificado SSL o TLS.
Haz clic en Generar certificado.
Después de crear el certificado, haz clic en Ver. El certificado de prueba o de muestra se muestra en la misma página, en un panel separado.
Si la emisión del certificado falla debido a conflictos, resuélvelos y vuelve a enviar la solicitud de certificado de prueba.
Emite certificados con una plantilla de certificado
Para emitir un certificado firmado con una plantilla de certificado, haz lo siguiente:
Console
Ve a la página Certificate Authority Service (Servicio de autoridad certificadora) en la consola de Google Cloud.
Haz clic en la pestaña Template Manager.
En la página Plantillas de certificados, haz clic en la plantilla de certificado que quieres usar. Aparecerá la página Detalles de la plantilla.
Haga clic en Crear certificado.
Selecciona una región. Esta región debe ser la misma que la del grupo de AC que quieres usar.
Selecciona el grupo de AC.
Para generar un certificado con una solicitud de firma de certificado (CSR), consulta Cómo solicitar un certificado mediante CSR.
Para generar un certificado con una clave generada de forma automática, consulta Cómo solicitar un certificado con una clave generada de forma automática.
Genera el certificado
- Haz clic en Generar certificado. Si el certificado se genera de forma correcta, se muestra un mensaje.
- Para ver el certificado generado, haz clic en Ver certificado y, luego, en Ver.
Opcional: Descarga el certificado firmado
- Para descargar la cadena de certificados con codificación PEM, haz clic en Descargar cadena de certificados.
- Para descargar la clave privada con codificación PEM asociada, haz clic en Descargar clave privada.
gcloud
Para emitir un certificado con una plantilla de certificado, agrega la marca --template
al comando gcloud privateca certificates create
en el siguiente formato:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Reemplaza CERTIFICATE_TEMPLATE por el nombre de la plantilla de certificado que deseas usar para emitir este certificado. La plantilla especificada debe estar en la misma ubicación que el grupo de la AC emisora. Consulta las muestras proporcionadas para generar certificados DNS de prueba y generar certificados de producción para obtener más información.
Terraform
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
Cómo compartir un vínculo de solicitud de certificado
Si deseas compartir un vínculo al formulario de solicitud de certificado con otras personas de tu organización para que puedan solicitar un certificado con los mismos parámetros, haz lo siguiente:
Console
- En la consola de Google Cloud, ve a la pestaña Administrador de grupos de AC y haz clic en Compartir vínculo del formulario de solicitud.
- En el panel Share request form link que aparece, selecciona el grupo de AC y la plantilla de certificado que elegiste para crear tu solicitud. Se mostrará el vínculo de solicitud de certificado.
- Copia el vínculo y compártelo según sea necesario.
Cómo resolver conflictos de políticas
Las solicitudes de certificado fallan con un error de argumento no válido cuando hay un conflicto entre la política de emisión del grupo de AC y la plantilla del certificado. Por ejemplo, si la misma extensión (como el uso de clave base) se define en los valores de referencia del grupo de AC y en los valores predefinidos de la plantilla de certificado. O cuando una política tiene restricciones de extensión que excluye una extensión específica y la otra política define un valor para esa extensión en los valores de referencia.
Para ver y resolver los conflictos de políticas, sigue estos pasos:
Console
- Haz clic en el vínculo del solucionador de problemas de políticas de emisión que se muestra con el mensaje de error. Aparecerá una página del solucionador de problemas en la que puedes comparar los valores del modelo de referencia y las restricciones de extensiones en la política de emisión del grupo de AC con los valores de referencia y las restricciones de extensión de la política de la plantilla del certificado. Observa que los conflictos de políticas están destacados.
- Accede al grupo de AC o a la plantilla del certificado para actualizar los valores en conflicto y resolver el conflicto.
- Una vez resuelto el conflicto, vuelve a enviar la solicitud de certificado.
Visualiza los certificados emitidos con una plantilla
Para ver los certificados emitidos con una plantilla de certificado, haz lo siguiente:
Console
- En la consola de Google Cloud, ve a la pestaña Administrador de plantillas.
- Haz clic en la plantilla de certificado que usaste para la emisión de certificados.
- En la página Detalles de la plantilla, haz clic en Certificados. Se mostrará la lista de certificados emitidos con la plantilla de certificado seleccionada.
¿Qué sigue?
- Obtén más información para ver los certificados emitidos.