En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (SSL). El Administrador de certificados admite Los siguientes tipos de certificados TLS (SSL):
- Los certificados administrados por Google son certificados que Google Cloud
que obtiene y administra por ti. Puedes crear los siguientes tipos de registros administrados
con el Administrador de certificados:
- Certificados globales
- Certificados administrados por Google con autorización del balanceador de cargas
- Certificados administrados por Google con autorización de DNS
- Certificados administrados por Google con Certificate Authority Service (Servicio de CA)
- Certificados regionales
- Certificados regionales administrados por Google
- Certificados regionales administrados por Google con el servicio de CA
- Certificados globales
- Los certificados autoadministrados son certificados que obtienes, aprovisionas y renovarte.
Para obtener más información sobre los certificados, consulta Cómo funciona el Administrador de certificados.
Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.
Para obtener más información sobre los comandos de gcloud CLI que se usan en esta página, consulta la Referencia de la CLI del Administrador de certificados
Crea un certificado administrado por Google con autorización de balanceador de cargas
Para crear un certificado administrado por Google con autorización de balanceador de cargas,
completa los pasos de esta sección. Solo puedes crear registros administrados
certificados con autorización del balanceador de cargas en la ubicación global
.
Para especificar varios nombres de dominio para el certificado, proporciona un campo una lista de nombres de dominio de destino para el certificado.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Global.
En Alcance, elige Predeterminado.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Pública.
Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Tipo de autorización, elige Autorización del balanceador de cargas.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAMES
: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, comomyorg.example.com
.
Terraform
Para crear un certificado administrado por Google, puedes usar un
Recurso google_certificate_manager_certificate
con un bloque managed
.
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
API
Crea el certificado mediante una solicitud POST
al
certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAME
: Es el dominio de destino para esto. certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como comomyorg.example.com
.
Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.
Crea un certificado administrado por Google con autorización de DNS
Para crear un certificado global administrado por Google con autorización de DNS, haz lo siguiente:
- Crea las autorizaciones de DNS correspondientes que hacen referencia a cada uno de los de dominio cubiertos por el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
- Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
- Completa los pasos de esta sección.
Puedes crear certificados administrados por Google regional
y global
.
Para obtener información sobre cómo crear un certificado regional
administrado por Google, consulta
Crea un certificado regional administrado por Google.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Global.
En Alcance, elige Predeterminado.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Pública.
Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Tipo de autorización, elige Autorización de DNS. Si el botón tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:
- Haz clic en Crear autorización de DNS faltante para mostrar el campo Crear DNS Cuadro de diálogo de autorización
- En el campo Nombre de autorización de DNS, especifica el nombre de autorización de DNS.
- Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --dns-authorizations="AUTHORIZATION_NAMES"
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAMES
: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, comomyorg.example.com
.AUTHORIZATION_NAMES
: una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para este certificado.
Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. R nombre de dominio comodín incluye todos los subdominios de primer nivel de un dominio determinado.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAME
: Es el dominio de destino para esto. certificado. El prefijo del punto de asterisco (*.
) indica un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
AUTHORIZATION_NAME
: Es el nombre del DNS. autorización que creaste para este certificado.
Terraform
Para crear un certificado administrado por Google con autorización de DNS, puedes usar un recurso google_certificate_manager_certificate
con el atributo dns_authorizations
en el bloque managed
.
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
API
Crea el certificado mediante una solicitud POST
al
certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAME
: Es el dominio de destino para esto. certificado. El prefijo de punto de asterisco (*.
) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
.AUTHORIZATION_NAME
: Es el nombre del DNS. autorizaciones que creaste para este certificado.
Para administrar de forma independiente los certificados en varios proyectos, puedes usar Autorización de DNS por proyecto (vista previa). Para para crear certificados con autorización de DNS por proyecto, consulta Crea una autorización de DNS.
Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.
Crea un certificado administrado por Google emitido por CA Service
Para crear un certificado administrado por Google emitido por un servicio de CA
por segundo bajo tu control, completa los pasos que se indican en esta sección. Puedes crear
certificados administrados por regional
y global
. Información
sobre cómo crear un certificado regional administrado por Google emitido por
CA Service, consulta
Crea un certificado regional administrado por Google emitido por el servicio de CA
Para completar esta tarea, debes tener los siguientes roles en el destino Proyecto de Google Cloud:
Para obtener más información sobre los comandos de gcloud CLI utilizados en esta sección, consulta el Referencia de la CLI del Administrador de certificados
Configura la integración de CA Service con el Administrador de certificados
Si aún no lo has hecho, debes configurar Administrador de certificados para integrarlo al servicio de CA como se describe en esta sección. Si una política de emisión de certificados está vigente en el grupo de AC de destino, el aprovisionamiento puede fallar por uno de los siguientes motivos:
- La política de emisión de certificados bloqueó el certificado solicitado. En En este caso, no se te facturará porque el certificado no se emitió.
- La política aplicó cambios al certificado que no son compatibles con Administrador de certificados. En este caso, se te sigue facturando porque certificado, aun si no es totalmente compatible con Administrador de certificados.
Si tienes problemas relacionados con las restricciones de la política de emisión, consulta la Solución de problemas .
Para configurar la integración de CA Service Administrador de certificados, haz lo siguiente:
- Habilita la API de CA Service.
- Crea un grupo de CA.
- Crea una AC y habilitarla en el grupo de AC que creaste en el paso anterior.
Otorgar al Administrador de certificados la capacidad de solicitar certificados del grupo de AC de destino:
Usa el siguiente comando para crear un Administrador de certificados cuenta de servicio en el proyecto de Google Cloud de destino:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del destino. proyecto de Google Cloud.El comando muestra el nombre de la cuenta de servicio creada. Por ejemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Otorga a la cuenta de servicio Administrador de certificados la Rol de solicitante de certificado dentro del grupo de AC de destino de la siguiente manera:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Reemplaza lo siguiente:
CA_POOL
: Es el ID del grupo de AC de destino.REGION
: Es la región de Google Cloud de destino.SERVICE_ACCOUNT
: Es el nombre completo del servicio. cuenta que creaste en el paso 1
Crea un recurso de configuración de emisión de certificados para tu grupo de AC:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Issuance Configs, haz clic en Crear.
En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.
En Ubicación, selecciona Global.
Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.
En el campo Lifetime, especifica la vida útil del certificado emitido en días. El valor debe ser de entre 21 y 30 días (inclusive).
En Porcentaje del período de rotación, especifica el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.
En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.
En la lista Grupo de AC, selecciona el nombre del grupo de AC que se asignará a esta configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en
Agregar etiqueta y especifica unakey
y unavalue
para tu etiqueta.Haz clic en Crear.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
: Es un nombre único que identifica este recurso de configuración de emisión de certificados.CA_POOL
: Es la ruta completa del recurso y el nombre de la AC. grupo que quieres asignar a este recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME
: el ciclo de vida del certificado en días. Los valores válidos son de 21 a 30 días en duración estándar formato. El valor predeterminado es de 30 días (30D
). Esta configuración es opcional.ROTATION_WINDOW_PERCENTAGE
: Es el porcentaje de la vida útil del certificado cuando se activa la renovación del certificado. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación. Esta configuración es opcional.KEY_ALGORITHM
: El algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256
orsa-2048
. El valor predeterminado esrsa-2048
. Esta configuración es opcional.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.
Crea un certificado administrado por Google emitido por tu instancia de CA Service
Crea un certificado administrado por Google emitido por tu servicio de CA instancia de la siguiente manera:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Global.
En Alcance, elige Predeterminado.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, elige Privada.
Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Certificate Esuance Config, selecciona el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
Para crear una configuración de emisión, haz clic en Agregar configuración de emisión de certificado, especifica los siguientes detalles y haz clic en Crear.
- Nombre: Es un nombre único para la configuración de emisión de certificados.
- Descripción: Es una descripción para la configuración de emisión.
- Vigencia: Duración del certificado emitido, en días El valor debe ser de entre 21 y 30 días (inclusive).
- Porcentaje del período de rotación: Es el porcentaje de la vida útil del certificado cuando se activa la renovación del certificado. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.
- Algoritmo de claves: Es el algoritmo de claves que se usa cuando se genera la clave privada.
- Grupo de AC: Es el nombre del grupo de AC que se asignará a esta configuración de emisión de certificados.
- Etiqueta: Son las etiquetas que se asociarán a la configuración de emisión de certificados.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAMES
: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
API
Crea el certificado mediante una solicitud POST
al
certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": ["ISSUANCE_CONFIG_NAME"], } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.DOMAIN_NAME
: Es el dominio de destino para esto. certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.
Crea un certificado regional administrado por Google emitido por CA Service
Para crear un certificado regional administrado por Google emitido por un de CA Service bajo tu control, completa los pasos esta sección.
Configura la integración de CA Service con el Administrador de certificados
Configurar el Administrador de certificados para realizar la integración CA Service de la siguiente manera:
Crea una cuenta de servicio del Administrador de certificados en el destino Proyecto de Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del destino. proyecto de Google Cloud.El comando devuelve el nombre de la identidad de servicio creada, como se ve en el siguiente ejemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Otorga el certificado a la cuenta de servicio Administrador de certificados Rol de solicitante dentro del grupo de AC de destino de la siguiente manera:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Reemplaza lo siguiente:
CA_POOL
: Es el ID del grupo de AC de destino.LOCATION
: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.SERVICE_ACCOUNT
: Es el nombre completo de la cuenta de servicio. que creaste en el paso 1.
Crea un recurso de configuración de emisión de certificados para tu grupo de AC:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Issuance Configs, haz clic en Crear.
En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.
Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.
En Ubicación, selecciona Regional.
En la lista Región, selecciona la región.
En el campo Lifetime, especifica la vida útil del certificado emitido en días. El valor debe ser de entre 21 y 30 días (inclusive).
En Porcentaje del período de rotación, especifica el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.
En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.
En la lista Grupo de AC, selecciona el nombre del grupo de AC que se asignará a esta configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en
Agregar etiqueta y especifica unakey
y unavalue
para tu etiqueta.Haz clic en Crear.
gcloud
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
: Es el nombre único del certificado. de configuración de emisión de radio.CA_POOL
: Es la ruta de acceso completa del recurso y el nombre del grupo de AC. que quieres asignar a este recurso de configuración de emisión de certificados.LOCATION
: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.CERTIFICATE_LIFETIME
: el ciclo de vida del certificado en días. Los valores válidos van de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D
). Esta es opcional.ROTATION_WINDOW_PERCENTAGE
: Es el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.KEY_ALGORITHM
: El algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256
orsa-2048
. El valor predeterminado esrsa-2048
. Esta configuración es opcional.DESCRIPTION
: Una descripción para el certificado de configuración de emisión de radio. Esta configuración es opcional.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.
Crea un certificado regional administrado por Google emitido por tu servicio de CA.
Crear un certificado regional administrado por Google emitido por tu CA Service que usa el recurso de configuración de emisión de certificados que creaste en el paso anterior:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Regional.
En la lista Región, selecciona una región.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, elige Privada.
Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Certificate Esuance Config, selecciona el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
Para crear una configuración de emisión, haz clic en Agregar configuración de emisión de certificado, especifica los siguientes detalles y haz clic en Crear.
- Nombre: Es un nombre único para la configuración de emisión de certificados.
- Descripción: Es una descripción para la configuración de emisión.
- Vigencia: Duración del certificado emitido, en días El valor debe ser de entre 21 y 30 días (inclusive).
- Porcentaje del período de rotación: Es el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.
- Algoritmo de claves: Es el algoritmo de claves que se usa cuando se genera la clave privada.
- Grupo de AC: Es el nombre del grupo de AC que se asignará a esta configuración de emisión de certificados.
- Etiqueta: Son las etiquetas que se asociarán a la configuración de emisión de certificados.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
Ejecuta el siguiente comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAMES
: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.LOCATION
: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.
API
Crea el certificado mediante una solicitud POST
al
certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates? { certificate: { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAME
: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, comoexample.com
ywww.example.com
.ISSUANCE_CONFIG_NAME
: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.LOCATION
: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.
Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.
Crea un certificado regional administrado por Google
Para crear un certificado administrado por Google con autorización de DNS, haz lo siguiente:
- Crea las autorizaciones de DNS correspondientes que hacen referencia a cada uno de los de dominio cubiertos por el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
- Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
- Completa los pasos de esta sección.
Puedes crear certificados administrados por Google regional
y global
.
Para obtener información sobre cómo crear un certificado global
administrado por Google, consulta
Crea un certificado administrado por Google con autorización de DNS.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Regional.
En la lista Región, selecciona una región.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Pública.
Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Tipo de autorización, elige Autorización de DNS. Si el botón tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:
- Haz clic en Crear autorización de DNS faltante para mostrar el Cuadro de diálogo Crear autorización de DNS.
- En el campo Nombre de autorización de DNS, especifica la autorización de DNS de la fuente de datos.
- Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
Ejecuta el siguiente comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAME
: Es el dominio de destino del certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS. que creaste para este certificado.LOCATION
: Es la ubicación en la que creas la Certificado administrado por Google.
Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un dominio comodín name certificado abarca todos los subdominios de primer nivel de un dominio determinado.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAME
: Es el dominio de destino del certificado. El prefijo de punto de asterisco (*.
) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS. que creaste para este certificado.LOCATION
: Es la ubicación en la que creas la Certificado administrado por Google.
Subir un certificado autoadministrado
Para subir un certificado autoadministrado, completa los pasos que se indican en esta sección. Tú puedes subir certificados X.509 TLS (SSL) globales y regionales de los siguientes tipos:
- Certificados generados por las autoridades certificadoras (CA) externas que elijas
- Certificados generados por autoridades certificadoras que están bajo tu control
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
Debes subir los siguientes archivos con codificación PEM:
- El archivo de certificado (
.crt
) - El archivo de clave privada (
.key
) correspondiente
Consulta Descripción general de la implementación. a fin de conocer los pasos necesarios para comenzar a entregar el certificado en su balanceador de cargas.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. El te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige cualquiera de las siguientes opciones:
- Global: Selecciona Global para que se pueda usar el certificado.
a nivel global. Si eliges Global, en el menú desplegable Alcance
selecciona cualquiera de las siguientes opciones:
- Predeterminado: Los certificados con permiso predeterminado se entregan desde los principales centros de datos de Google.
- Caché perimetral: Los certificados con este permiso son especiales certificados y se entregan desde centros de datos de Google no principales.
- Todas las regiones: Los certificados se entregan desde todas las regiones.
- Regional: Selecciona Regional para que se pueda usar el certificado. en una región en particular. Si eliges Regional, selecciona una región en la lista Región.
- Global: Selecciona Global para que se pueda usar el certificado.
a nivel global. Si eliges Global, en el menú desplegable Alcance
selecciona cualquiera de las siguientes opciones:
En Tipo de certificado, elige Crear certificado autoadministrado.
En el campo Certificado, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona tu archivo archivo de certificado de Google.
- Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con
-----BEGIN CERTIFICATE-----
y terminar con-----END CERTIFICATE-----
.
En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona tu clave privada. Tu la clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
- Copia y pega el contenido de una clave privada con el formato PEM. El
las claves privadas deben comenzar con
-----BEGIN PRIVATE KEY-----
y finalizan con-----END PRIVATE KEY-----
.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en add_box Agregar etiqueta y especifica una
key
y unavalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="REGION"]
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.CERTIFICATE_FILE
: Es la ruta de acceso y el nombre de archivo de.crt
. archivo de certificado de Google.PRIVATE_KEY_FILE
: Es la ruta de acceso y el nombre de archivo de.key
. de claves privadas.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.
Terraform
Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate
con el bloque self_managed
.
API
Sube el certificado mediante una solicitud POST
al
certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del objetivo. proyecto de Google Cloud.CERTIFICATE_NAME
: Es un nombre único que describe esto. certificado.PEM_CERTIFICATE
: Es el certificado PEM.PEM_KEY
: Es la clave PEM.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.
Actualizar un certificado
Para actualizar un certificado existente sin modificar sus asignaciones a de dominios dentro del mapa de certificados correspondiente, completa los pasos de este sección. Los SAN del nuevo certificado deben coincidir exactamente con los SAN del certificado existente.
En el caso de los certificados administrados por Google, solo puedes actualizar description
y
labels
campos. Para actualizar un certificado autoadministrado, debes subir el
Los siguientes archivos con codificación PEM:
- El archivo de certificado (
.crt
) - El archivo de clave privada (
.key
) correspondiente
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="REGION"]
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es el nombre del certificado de destino.CERTIFICATE_FILE
: Es la ruta de acceso y el nombre de archivo de.crt
. archivo de certificado de Google.PRIVATE_KEY_FILE
: Es la ruta de acceso y el nombre de archivo de.key
. de claves privadas.DESCRIPTION
: Un valor de descripción único para esta certificado.LABELS
: una lista de etiquetas separadas por comas aplicadas a este certificado.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.
API
Actualiza el certificado mediante una solicitud PATCH
al
certificates.patch
de la siguiente manera:
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del objetivo. proyecto de Google Cloud.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.CERTIFICATE_NAME
: Es el nombre del certificado de destino.PEM_CERTIFICATE
: Es el certificado PEM.PEM_KEY
: Es la clave PEM.DESCRIPTION
: Una descripción significativa para esto certificado.LABEL_KEY
: Es una clave de etiqueta que se aplica a este certificado.LABEL_VALUE
: Es un valor de etiqueta aplicado a esto. certificado.
Mostrar lista de certificados
Para ver una lista de los certificados administrados por el Administrador de certificados, completa el pasos en esta sección. Por ejemplo, puedes realizar las siguientes consultas:
- Enumerar los certificados por sus nombres de dominio asignados
- Enumerar los certificados vencidos
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
Si tienes más de 10,000 certificados en tu proyecto que están administrados mediante el Administrador de certificados, la página del Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa gcloud CLI para mostrar tus certificados en su lugar.
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados. Esta pestaña enumera todos los certificados administrados por Administrador de certificados en el proyecto seleccionado.
En la pestaña Classic Certificates, se enumeran los certificados del proyecto seleccionado. que se aprovisionaron directamente a través de Cloud Load Balancing. Estos certificados no son administrados por el Administrador de certificados. Para instrucciones para administrar los certificados, consulta una de las siguientes en la documentación de Cloud Load Balancing:
gcloud
gcloud certificate-manager certificates list \ [--location="REGION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Reemplaza lo siguiente:
REGION
: La región de Google Cloud de destino. para enumerar certificados de todas las regiones, usa-
como valor. Predeterminado esglobal
. Esta configuración es opcional.FILTER
: Es una expresión que restringe el valor que se muestra. resultados a valores específicos. Por ejemplo, puedes filtrar los resultados los siguientes criterios:- Hora de vencimiento:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nombres de DNS de SAN:
--filter='san_dnsnames:"example.com"'
- Estado del certificado:
--filter='managed.state=FAILED'
- Tipo de certificado:
--filter='managed:*'
- Etiquetas y hora de creación:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Hora de vencimiento:
Para ver más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Ordenación y filtrado de listas resultados en la documentación de Cloud Key Management Service.
PAGE_SIZE
: Es la cantidad de resultados que se mostrarán por página.LIMIT
: Es la cantidad máxima de resultados que se mostrarán.SORT_BY
: Una lista delimitada por comas de camposname
en la que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; Para el orden de clasificación descendente, agrega el prefijo~
al campo.
API
Para enumerar los certificados, realiza una solicitud LIST
al certificates.list
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
REGION
: La región de Google Cloud de destino. para enumerar certificados de todas las regiones, usa-
como valor.PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.FILTER
: Es una expresión que restringe el valor que se muestra. resultados a valores específicos.PAGE_SIZE
: Es la cantidad de resultados que se mostrarán por página.SORT_BY
: una lista delimitada por comas de nombres de campo por los que los resultados que se muestran están ordenados. El orden predeterminado es ascendente; para orden de clasificación descendente, con el prefijo~
en el campo.
Consulta el estado de un certificado
Para ver el estado de un certificado existente, incluido su estado de aprovisionamiento y otra información detallada, completa los pasos que se indican en esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
Si tienes más de 10,000 certificados en tu proyecto que están administrados mediante el Administrador de certificados, la página del Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa el gcloud CLI para enumerar tus certificados. Sin embargo, Si tienes un vínculo directo a la página Detalles del certificado, el Administrador de certificados de la consola de Google Cloud puede mostrarlos más detalles.
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
En la pestaña Certificados, ve al certificado de destino y, luego, haz clic en el nombre del certificado.
En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.
Opcional: Para ver la respuesta de REST de la API de Certificate Manager Para este certificado, haz clic en REST equivalente.
Opcional: Si el certificado tiene una emisión de certificados asociada configuración que quieras ver y, luego, en el campo Issuance config haz clic en el nombre de la configuración de emisión de certificados asociada.
La consola de Google Cloud muestra la configuración completa del certificado de la emisión de contenido.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="REGION"]
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es el nombre del certificado de destino.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.
API
Para ver el estado del certificado, realiza una solicitud GET
al
certificates.get
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del objetivo. proyecto de Google Cloud.REGION
: Es la región de Google Cloud de destino.CERTIFICATE_NAME
: Es el nombre del certificado de destino.
Borra un certificado
Para borrar un certificado del Administrador de certificados, completa el pasos en esta sección. Antes de borrar un certificado, debes quitarlo a partir de todas las entradas del mapa de certificados que hacen referencia a él; De lo contrario, la eliminación falla.
Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en la proyecto de Google Cloud de destino.
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Certificados, selecciona la casilla de verificación del certificado que que quieres borrar.
Haz clic en Borrar.
En el diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es el nombre del certificado de destino.REGION
: el Google Cloud de destino región. El valor predeterminado esglobal
. Esta configuración es opcional.
API
Borra el certificado mediante una solicitud DELETE
al certificates.delete
de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto de Google Cloud de destino.REGION
: Es la región de Google Cloud de destino.CERTIFICATE_NAME
: Es el nombre del certificado de destino.
¿Qué sigue?
- Administrar mapas de certificados
- Administra las entradas del mapa de certificados
- Administra las autorizaciones de DNS
- Administrar la configuración de emisión de certificados