Se usó la API de Cloud Translation para traducir esta página.

Administrar certificados

En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (SSL).

Para obtener más información, consulta Certificados compatibles.

Crea un certificado administrado por Google

El Administrador de certificados te permite crear certificados administrados por Google de las siguientes maneras:

Certificados administrados por Google con autorización de balanceador de cargas (global)
Certificados administrados por Google con autorización de DNS (global, regional y entre regiones)
Certificados administrados por Google con Certificate Authority Service (servicio de AC) (global, regional y multirregional)

Autorización del balanceador de cargas

La autorización del balanceador de cargas te permite obtener un certificado administrado por Google para tu dominio cuando el balanceador de cargas entrega tráfico. Este método no requiere ningún registro DNS adicional para el aprovisionamiento de certificados. Puedes usar autorizaciones de balanceador de cargas para entornos nuevos sin tráfico existente. Para obtener información sobre cuándo usar la autorización de balanceador de cargas con un certificado administrado por Google, consulta Tipos de autorización de dominio para certificados administrados por Google.

Puedes crear certificados administrados por Google con autorización de balanceador de cargas solo en la ubicación global. Los certificados autorizados del balanceador de cargas no admiten dominios de comodín.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Nota: Si no se te asignan los roles necesarios, comunícate con el administrador de IAM que tenga el rol de Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) para que te otorgue los roles que faltan.

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global.
En Permiso, selecciona una de las siguientes opciones:
- Predeterminada: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red de proxy externo global.
- Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.
No puedes usar la autorización del balanceador de cargas con una ubicación regional ni el permiso Todas las regiones.
En Tipo de certificado, selecciona Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Pública.
En el campo Nombres de dominio, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
En Tipo de autorización, selecciona Autorización del balanceador de cargas.
En el campo Etiquetas, especifica las etiquetas que deseas asociar con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.

El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado global administrado por Google con autorización del balanceador de cargas, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Autorización de DNS

Para usar certificados administrados por Google antes de que tu entorno de producción esté listo, puedes aprovisionarlos con autorizaciones de DNS. Para obtener información sobre cuándo usar la autorización de DNS con un certificado administrado por Google, consulta Tipos de autorización de dominio para certificados administrados por Google.

Para administrar certificados de forma independiente en varios proyectos, puedes usar la autorización de DNS por proyecto. Para obtener información sobre cómo crear certificados con autorización de DNS por proyecto, consulta Crea una autorización de DNS.

Antes de crear el certificado, haz lo siguiente:

Crea una autorización de DNS para cada uno de los nombres de dominio que abarca el certificado.
Agrega el registro CNAME a tu configuración de DNS para el subdominio de validación en la zona del DNS del dominio de destino.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global o Regional.

Si seleccionaste Regional, en la lista Región, selecciona tu región.
En Permiso, selecciona una de las siguientes opciones:
- Predeterminada: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red de proxy externo global.
- Todas las regiones: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.
El campo Alcance no está disponible si seleccionaste una ubicación regional.
En Tipo de certificado, selecciona Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Pública.
En el campo Nombres de dominio, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. El nombre de dominio también puede ser un nombre de dominio con comodín, como *.example.com.
En Tipo de autorización, selecciona Autorización de DNS.

En la página, se enumeran las autorizaciones de DNS de los nombres de dominio. Si un nombre de dominio no tiene una autorización de DNS asociada, sigue estos pasos para crearla:
1. Haz clic en Crear autorización de DNS faltante.
2. En el campo Nombre de autorización de DNS, especifica el nombre de la autorización de DNS. El tipo de autorización de DNS predeterminado es FIXED_RECORD. Para administrar certificados de forma independiente en varios proyectos, selecciona la casilla de verificación Autorización por proyecto.
3. Haz clic en Crear autorización de DNS.
En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.

El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado administrado por Google con autorización de DNS, ejecuta el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio de comodín, como *.myorg.example.com. El prefijo asterisco punto (.*) indica un certificado comodín.
AUTHORIZATION_NAMES: Es una lista de nombres de las autorizaciones de DNS delimitadas por comas.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. El valor predeterminado es global.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Para crear el certificado, realiza una solicitud POST al método certificates. create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino.
CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Emitido por el servicio de AC

Puedes integrar Certificate Manager con el servicio de AC para emitir certificados administrados por Google. Para emitir certificados globales administrados por Google, usa un grupo de AC regional en cualquier región. Para emitir certificados regionales administrados por Google, debes usar un grupo de AC en la misma región que tu certificado.

Antes de crear el certificado, configura la integración de Certificate Authority Service con Certificate Manager.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de propietario de Certificate Manager (roles/certificatemanager.owner)
Administrador del servicio de CA (roles/privateca.admin)

Para obtener más información, consulta Roles y permisos.

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global o Regional.

Si seleccionaste Regional, en la lista Región, selecciona tu región.
En Permiso, selecciona una de las siguientes opciones:
- Predeterminada: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red de proxy externo global.
- Todas las regiones: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.
El campo Alcance no está disponible si seleccionaste una ubicación regional.
En Tipo de certificado, selecciona Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Privada.
En el campo Nombres de dominio, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
En Select a certificate issuance config, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.

El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado administrado por Google con Certificate Authority Service, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio de comodín, como *.myorg.example.com. El prefijo asterisco punto (.*) indica un certificado comodín.
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. El valor predeterminado es global.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino.
CERTIFICATE_NAME: el nombre del certificado
DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Sube un certificado autoadministrado

Para subir un certificado autoadministrado, sube el archivo de certificado (CRT) y el archivo de clave privada (KEY) correspondiente. Puedes subir certificados TLS (SSL) X.509 globales y regionales de los siguientes tipos:

Los certificados generados por autoridades certificadoras (AC) de terceros que elijas
Certificados generados por autoridades certificadoras que controlas
Certificados autofirmados, como se describe en Crea una clave privada y un certificado.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global o Regional.

Si seleccionaste Regional, en la lista Región, selecciona tu región.
En Permiso, selecciona una de las siguientes opciones:
- Predeterminada: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red de proxy externo global.
- Todas las regiones: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.
El campo Alcance no está disponible si seleccionaste una ubicación regional.
En Tipo de certificado, selecciona Crear certificado autoadministrado.
En el campo Certificado, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
- Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.
En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
- Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.
En el campo Etiquetas, especifica las etiquetas que deseas asociar con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.

El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado autoadministrado, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de claves privadas KEY.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. El valor predeterminado es global.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Para subir el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino.
CERTIFICATE_NAME: el nombre del certificado
PEM_CERTIFICATE: El PEM del certificado
PEM_KEY: La clave PEM.
SCOPE: Ingresa una de las siguientes opciones:
- default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
- all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
- edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en él.

Actualiza un certificado

Puedes actualizar un certificado existente sin modificar sus asignaciones a nombres de dominio dentro del mapa de certificados correspondiente. Cuando actualices un certificado, asegúrate de que las SAN del certificado nuevo coincidan exactamente con las del certificado existente.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Certificados administrados por Google

En el caso de los certificados administrados por Google, solo puedes actualizar la descripción y las etiquetas del certificado.

Console

No puedes actualizar un certificado desde la consola de Google Cloud. En su lugar, usa Google Cloud CLI.

gcloud

Para actualizar un certificado administrado por Google, usa el comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
DESCRIPTION: Una descripción única del certificado.
LABELS: Es una lista de etiquetas separadas por comas que se aplicaron a este certificado.

API

Para actualizar el certificado, realiza una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
CERTIFICATE_NAME: el nombre del certificado
DESCRIPTION: Una descripción del certificado.
LABEL_KEY: Es una clave de etiqueta aplicada al certificado.
LABEL_VALUE: Es un valor de etiqueta aplicado al certificado.

Certificados autoadministrados

Para actualizar un certificado autoadministrado, debes subir los siguientes archivos con codificación PEM:

El archivo CRT del certificado
El archivo KEY de clave privada correspondiente

Console

No puedes actualizar un certificado desde la consola de Google Cloud. En su lugar, usa Google Cloud CLI.

gcloud

Para actualizar un certificado autoadministrado, usa el comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.
DESCRIPTION: Un valor de descripción único para este certificado.
LABELS: Es una lista de etiquetas separadas por comas que se aplicaron a este certificado.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. Esta marca es opcional. Especifica esta marca solo para certificados regionales.

API

Para actualizar el certificado, realiza una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. Esta marca es opcional. Especifica esta marca solo para certificados regionales.
CERTIFICATE_NAME: el nombre del certificado
PEM_CERTIFICATE: El PEM del certificado
PEM_KEY: La clave PEM.
DESCRIPTION: Una descripción significativa del certificado.
LABEL_KEY: Es una clave de etiqueta aplicada al certificado.
LABEL_VALUE: Es un valor de etiqueta aplicado al certificado.

Cómo mostrar certificados

Puedes ver todos los certificados de tu proyecto y sus detalles, como la región, los nombres de host, la fecha de vencimiento y el tipo.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)
Función de visualizador del administrador de certificados (roles/certificatemanager.viewer)

Para obtener más información, consulta Roles y permisos.

Console

La página Administrador de certificados de la consola de Google Cloud puede mostrar un máximo de 10,000 certificados. Si tu proyecto contiene más de 10,000 certificados que el Administrador de certificados administra, usa el comando de la CLI de gcloud.

Para ver los certificados aprovisionados por el Administrador de certificados, sigue estos pasos:

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
Haz clic en la pestaña Certificados.

En esta pestaña, se enumeran todos los certificados que administra el Administrador de certificados en el proyecto seleccionado.

Para ver los certificados aprovisionados a través de Cloud Load Balancing, haz lo siguiente:

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
Haz clic en la pestaña Certificados clásicos.

El Administrador de certificados no administra los certificados clásicos. Para obtener más información sobre cómo administrarlos, consulta lo siguiente:
- Usa certificados SSL administrados por Google
- Usa certificados SSL autoadministrados

gcloud

Para enumerar los certificados, usa el comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

LOCATION: La Google Cloud ubicaciónLOCATION de destino. Para enumerar los certificados de todas las regiones, usa - como valor. El valor predeterminado es global. Esta marca es opcional.
FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

Por ejemplo, puedes filtrar los resultados según los siguientes criterios:
- Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
- Estado del certificado: --filter='managed.state=FAILED'
- Tipo de certificado: --filter='managed:*'
- Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
LIMIT: Es la cantidad máxima de resultados que se mostrarán.
SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

API

Para enumerar los certificados, realiza una solicitud LIST al método certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino. Para enumerar los certificados de todas las regiones, usa - como valor.
FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

Por ejemplo, puedes filtrar los resultados según los siguientes criterios:
- Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
- Estado del certificado: --filter='managed.state=FAILED'
- Tipo de certificado: --filter='managed:*'
- Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
  
  Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Cómo ver el estado de un certificado

Puedes ver el estado de un certificado existente, incluido su estado de aprovisionamiento y otra información detallada.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de editor del Administrador de certificados (roles/certificatemanager.editor)
Función de propietario de Certificate Manager (roles/certificatemanager.owner)
Función de visualizador del administrador de certificados (roles/certificatemanager.viewer)

Para obtener más información, consulta Roles y permisos.

Console

Si tu proyecto contiene más de 10,000 certificados que administra el Administrador de certificados, la página Administrador de certificados de la consola de Google Cloud no los mostrará. En su lugar, usa el comando de gcloud CLI. Sin embargo, si tienes un vínculo directo a la página Detalles del certificado, puedes ver sus detalles en la consola de Google Cloud.

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la página que aparece, selecciona la pestaña Certificados.
En la pestaña Certificados, ve al certificado de destino y, luego, haz clic en su nombre.

La página Detalles del certificado muestra información detallada sobre el certificado seleccionado.
Opcional: Para ver la respuesta REST de la API de Certificate Manager para este certificado, haz clic en REST equivalente.
Opcional: Si el certificado tiene una configuración de emisión de certificado asociada que deseas ver, en el campo Configuración de emisión, haz clic en el nombre del recurso de configuración de emisión de certificado asociado.

La consola de Google Cloud muestra la configuración completa de la emisión de certificados.

gcloud

Para ver el estado de un certificado, usa el comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global. Esta marca es opcional.

API

Para ver el estado del certificado, realiza una solicitud GET al método certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino.
CERTIFICATE_NAME: el nombre del certificado

Cómo borrar un certificado

Antes de borrar un certificado, quítalo de todas las entradas del mapa de certificados que hagan referencia a él. De lo contrario, la eliminación fallará. Para obtener más información, consulta Borra una entrada del mapa de certificados.

Roles necesarios para esta tarea

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Certificados, selecciona la casilla de verificación del certificado que deseas borrar.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud

Para borrar un certificado, usa el comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Reemplaza lo siguiente:

CERTIFICATE_NAME: el nombre del certificado
LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global. Esta marca es opcional.

API

Para borrar el certificado, realiza una solicitud DELETE al método certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

PROJECT_ID: El ID del proyecto de Google Cloud.
LOCATION: La Google Cloud ubicaciónLOCATION de destino.
CERTIFICATE_NAME: el nombre del certificado

Administrar certificados

Crea un certificado administrado por Google

Autorización del balanceador de cargas

Roles necesarios para esta tarea

Console

gcloud

Terraform

API

Autorización de DNS

Roles necesarios para esta tarea

Console

gcloud

Terraform

API

Emitido por el servicio de AC

Roles necesarios para esta tarea

Console

gcloud

API

Sube un certificado autoadministrado

Roles necesarios para esta tarea

Console

gcloud

Terraform

API

Actualiza un certificado

Roles necesarios para esta tarea

Certificados administrados por Google

Console

gcloud

API

Certificados autoadministrados

Console

gcloud

API

Cómo mostrar certificados

Roles necesarios para esta tarea

Console

gcloud

API

Cómo ver el estado de un certificado

Roles necesarios para esta tarea

Console

gcloud

API

Cómo borrar un certificado

Roles necesarios para esta tarea

Console

gcloud

API

¿Qué sigue?