Administrar certificados

En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (SSL). El Administrador de certificados admite Los siguientes tipos de certificados TLS (SSL):

  • Los certificados administrados por Google son certificados que Google Cloud que obtiene y administra por ti. Puedes crear los siguientes tipos de registros administrados con el Administrador de certificados:
    • Certificados globales
      • Certificados administrados por Google con autorización del balanceador de cargas
      • Certificados administrados por Google con autorización de DNS
      • Certificados administrados por Google con Certificate Authority Service (Servicio de CA)
    • Certificados regionales
      • Certificados regionales administrados por Google
      • Certificados regionales administrados por Google con el servicio de CA
  • Los certificados autoadministrados son certificados que obtienes, aprovisionas y renovarte.

Para obtener más información sobre los certificados, consulta Cómo funciona el Administrador de certificados.

Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud CLI que se usan en esta página, consulta la Referencia de la CLI del Administrador de certificados

Crea un certificado administrado por Google con autorización de balanceador de cargas

Para crear un certificado administrado por Google con autorización de balanceador de cargas, completa los pasos de esta sección. Solo puedes crear registros administrados certificados con autorización del balanceador de cargas en la ubicación global.

Para especificar varios nombres de dominio para el certificado, proporciona un campo una lista de nombres de dominio de destino para el certificado.

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización del balanceador de cargas.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, como myorg.example.com.

Terraform

Para crear un certificado administrado por Google, puedes usar un Recurso google_certificate_manager_certificate con un bloque managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Crea el certificado mediante una solicitud POST al certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAME: Es el dominio de destino para esto. certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como como myorg.example.com.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado administrado por Google con autorización de DNS

Para crear un certificado global administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones de DNS correspondientes que hacen referencia a cada uno de los de dominio cubiertos por el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado regional administrado por Google, consulta Crea un certificado regional administrado por Google.

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización de DNS. Si el botón tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:

    1. Haz clic en Crear autorización de DNS faltante para mostrar el campo Crear DNS Cuadro de diálogo de autorización
    2. En el campo Nombre de autorización de DNS, especifica el nombre de autorización de DNS.
    3. Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, como myorg.example.com.
  • AUTHORIZATION_NAMES: una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para este certificado.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. R nombre de dominio comodín incluye todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAME: Es el dominio de destino para esto. certificado. El prefijo del punto de asterisco (*.) indica un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre del DNS. autorización que creaste para este certificado.

Terraform

Para crear un certificado administrado por Google con autorización de DNS, puedes usar un recurso google_certificate_manager_certificate con el atributo dns_authorizations en el bloque managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Crea el certificado mediante una solicitud POST al certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAME: Es el dominio de destino para esto. certificado. El prefijo de punto de asterisco (*.) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre del DNS. autorizaciones que creaste para este certificado.

Para administrar de forma independiente los certificados en varios proyectos, puedes usar Autorización de DNS por proyecto (vista previa). Para para crear certificados con autorización de DNS por proyecto, consulta Crea una autorización de DNS.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado administrado por Google emitido por CA Service

Para crear un certificado administrado por Google emitido por un servicio de CA por segundo bajo tu control, completa los pasos que se indican en esta sección. Puedes crear certificados administrados por regional y global. Información sobre cómo crear un certificado regional administrado por Google emitido por CA Service, consulta Crea un certificado regional administrado por Google emitido por el servicio de CA

Para completar esta tarea, debes tener los siguientes roles en el destino Proyecto de Google Cloud:

Para obtener más información sobre los comandos de gcloud CLI utilizados en esta sección, consulta el Referencia de la CLI del Administrador de certificados

Configura la integración de CA Service con el Administrador de certificados

Si aún no lo has hecho, debes configurar Administrador de certificados para integrarlo al servicio de CA como se describe en esta sección. Si una política de emisión de certificados está vigente en el grupo de AC de destino, el aprovisionamiento puede fallar por uno de los siguientes motivos:

  • La política de emisión de certificados bloqueó el certificado solicitado. En En este caso, no se te facturará porque el certificado no se emitió.
  • La política aplicó cambios al certificado que no son compatibles con Administrador de certificados. En este caso, se te sigue facturando porque certificado, aun si no es totalmente compatible con Administrador de certificados.

Si tienes problemas relacionados con las restricciones de la política de emisión, consulta la Solución de problemas .

Para configurar la integración de CA Service Administrador de certificados, haz lo siguiente:

  • Otorgar al Administrador de certificados la capacidad de solicitar certificados del grupo de AC de destino:
    1. Usa el siguiente comando para crear un Administrador de certificados cuenta de servicio en el proyecto de Google Cloud de destino:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del destino. proyecto de Google Cloud.

    El comando muestra el nombre de la cuenta de servicio creada. Por ejemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Otorga a la cuenta de servicio Administrador de certificados la Rol de solicitante de certificado dentro del grupo de AC de destino de la siguiente manera:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • REGION: Es la región de Google Cloud de destino.
    • SERVICE_ACCOUNT: Es el nombre completo del servicio. cuenta que creaste en el paso 1

  1. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es un nombre único que identifica este recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta completa del recurso y el nombre de la AC. grupo que quieres asignar a este recurso de configuración de emisión de certificados.
    • CERTIFICATE_LIFETIME: el ciclo de vida del certificado en días. Los valores válidos son de 21 a 30 días en la duración estándar . El valor predeterminado es de 30 días (30D). Esta configuración es opcional.
    • ROTATION_WINDOW_PERCENTAGE: el porcentaje de el ciclo de vida del certificado en el que se activa una renovación. El valor predeterminado es 66 por ciento. Debes establecer el porcentaje de la ventana de rotación en relación con el la vida útil del certificado, de modo que la renovación del certificado se realice al menos 7 días después de que se emite el certificado y, al menos, 7 días antes de este y vence el período de vencimiento. Esta configuración es opcional.
    • KEY_ALGORITHM: El algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta configuración es opcional.

    Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.

Crea un certificado administrado por Google emitido por tu instancia de CA Service

Crea un certificado administrado por Google emitido por tu servicio de CA instancia de la siguiente manera:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, elige Privada.

  10. Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como myorg.example.com.

  11. En Certificate Esuance Config, selecciona el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.

API

Crea el certificado mediante una solicitud POST al certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • DOMAIN_NAME: Es el dominio de destino para esto. certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado regional administrado por Google emitido por CA Service

Para crear un certificado regional administrado por Google emitido por un de CA Service bajo tu control, completa los pasos esta sección.

Configura la integración de CA Service con el Administrador de certificados

Configurar el Administrador de certificados para realizar la integración CA Service de la siguiente manera:

  1. Crea una cuenta de servicio del Administrador de certificados en el destino Proyecto de Google Cloud:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del destino. proyecto de Google Cloud.

El comando devuelve el nombre de la identidad de servicio creada, como se ve en el siguiente ejemplo:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Otorga el certificado a la cuenta de servicio Administrador de certificados Rol de solicitante dentro del grupo de AC de destino de la siguiente manera:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • LOCATION: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.
    • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio. que creaste en el paso 1.

  2. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es el nombre único del certificado. de configuración de emisión de radio.
    • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC. que quieres asignar a este recurso de configuración de emisión de certificados.
    • LOCATION: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.
    • CERTIFICATE_LIFETIME: el ciclo de vida del certificado en días. Los valores válidos van de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D). Esta es opcional.
    • ROTATION_WINDOW_PERCENTAGE: el porcentaje de el ciclo de vida del certificado en el que se activa una renovación. Este parámetro de configuración es opcional. El valor predeterminado es del 66%. Debes configurar la rotación porcentaje de período en relación con la vida útil del certificado para que la renovación del certificado se realiza al menos 7 días después de que el certificado que se hayan emitido al menos 7 días antes de su vencimiento.
    • KEY_ALGORITHM: El algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta configuración es opcional.
    • DESCRIPTION: Una descripción para el certificado de configuración de emisión de radio. Esta configuración es opcional.

Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.

Crea un certificado regional administrado por Google emitido por tu servicio de CA.

Crear un certificado regional administrado por Google emitido por tu CA Service que usa el recurso de configuración de emisión de certificados que creaste en el paso anterior:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Regional.

  7. En la lista Región, selecciona una región.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, elige Privada.

  10. Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como myorg.example.com.

  11. En Certificate Esuance Config, selecciona el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud

Ejecuta el siguiente comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas del destino dominios para este certificado. Cada nombre de dominio debe ser un dominio nombre de dominio, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
  • LOCATION: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.

API

Crea el certificado mediante una solicitud POST al certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como example.com y www.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del certificado. recurso de configuración de emisión que hace referencia al grupo de AC objetivo.
  • LOCATION: Es la ubicación de destino de Google Cloud. Tú debe especificar la misma ubicación que el grupo de AC, la emisión de certificados recurso de configuración y certificado administrado.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado regional administrado por Google

Para crear un certificado administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones de DNS correspondientes que hacen referencia a cada uno de los de dominio cubiertos por el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado global administrado por Google, consulta Crea un certificado administrado por Google con autorización de DNS.

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Regional.

  7. En la lista Región, selecciona una región.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización de DNS. Si el botón tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:

    1. Haz clic en Crear autorización de DNS faltante para mostrar el Cuadro de diálogo Crear autorización de DNS.
    2. En el campo Nombre de autorización de DNS, especifica la autorización de DNS de la fuente de datos.
    3. Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud

Ejecuta el siguiente comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS. que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas la Certificado administrado por Google.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un dominio comodín name certificado abarca todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El prefijo de punto de asterisco (*.) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS. que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas la Certificado administrado por Google.

Subir un certificado autoadministrado

Para subir un certificado autoadministrado, completa los pasos que se indican en esta sección. Tú puedes subir certificados X.509 TLS (SSL) globales y regionales de los siguientes tipos:

  • Certificados generados por las autoridades certificadoras (CA) externas que elijas
  • Certificados generados por autoridades certificadoras que están bajo tu control
  • Certificados autofirmados, como se describe en Crea una clave privada y un certificado

Debes subir los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de clave privada (.key) correspondiente

Consulta Descripción general de la implementación. a fin de conocer los pasos necesarios para comenzar a entregar el certificado en su balanceador de cargas.

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. El te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige cualquiera de las siguientes opciones:

    • Global: Selecciona Global para que se pueda usar el certificado. a nivel global. Si eliges Global, en el menú desplegable Alcance selecciona cualquiera de las siguientes opciones:
      • Predeterminado: Los certificados con permiso predeterminado se entregan desde los principales centros de datos de Google.
      • Caché perimetral: Los certificados con este permiso son especiales certificados y se entregan desde centros de datos de Google no principales.
      • Todas las regiones: Los certificados se entregan desde todas las regiones.
    • Regional: Selecciona Regional para que se pueda usar el certificado. en una región en particular. Si eliges Regional, selecciona una región en la lista Región.

  7. En Tipo de certificado, elige Crear certificado autoadministrado.

  8. En el campo Certificado, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu archivo archivo de certificado de Google.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu la clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. El las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y finalizan con -----END PRIVATE KEY-----.

  10. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  11. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo de .crt. archivo de certificado de Google.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo de .key. de claves privadas.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Sube el certificado mediante una solicitud POST al certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del objetivo. proyecto de Google Cloud.
  • CERTIFICATE_NAME: Es un nombre único que describe esto. certificado.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.

Actualizar un certificado

Para actualizar un certificado existente sin modificar sus asignaciones a de dominios dentro del mapa de certificados correspondiente, completa los pasos de este sección. Los SAN del nuevo certificado deben coincidir exactamente con los SAN del certificado existente.

En el caso de los certificados administrados por Google, solo puedes actualizar description y labels campos. Para actualizar un certificado autoadministrado, debes subir el Los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de clave privada (.key) correspondiente

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo de .crt. archivo de certificado de Google.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo de .key. de claves privadas.
  • DESCRIPTION: Un valor de descripción único para esta certificado.
  • LABELS: una lista de etiquetas separadas por comas aplicadas a este certificado.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.

API

Actualiza el certificado mediante una solicitud PATCH al certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del objetivo. proyecto de Google Cloud.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • DESCRIPTION: Una descripción significativa para esto certificado.
  • LABEL_KEY: Es una clave de etiqueta que se aplica a este certificado.
  • LABEL_VALUE: Es un valor de etiqueta aplicado a esto. certificado.

Mostrar lista de certificados

Para ver una lista de los certificados administrados por el Administrador de certificados, completa el pasos en esta sección. Por ejemplo, puedes realizar las siguientes consultas:

  • Enumerar los certificados por sus nombres de dominio asignados
  • Enumerar los certificados vencidos

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto que están administrados mediante el Administrador de certificados, la página del Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa gcloud CLI para mostrar tus certificados en su lugar.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados. Esta pestaña enumera todos los certificados administrados por Administrador de certificados en el proyecto seleccionado.

En la pestaña Classic Certificates, se enumeran los certificados del proyecto seleccionado. que se aprovisionaron directamente a través de Cloud Load Balancing. Estos certificados no son administrados por el Administrador de certificados. Para instrucciones para administrar los certificados, consulta una de las siguientes en la documentación de Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • REGION: La región de Google Cloud de destino. para enumerar certificados de todas las regiones, usa - como valor. Predeterminado es global. Esta configuración es opcional.
  • FILTER: Es una expresión que restringe el valor que se muestra. resultados a valores específicos. Por ejemplo, puedes filtrar los resultados los siguientes criterios:
    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para ver más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Ordenación y filtrado de listas resultados en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.
  • SORT_BY: Una lista delimitada por comas de campos name en la que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; Para el orden de clasificación descendente, agrega el prefijo ~ al campo.

API

Para enumerar los certificados, realiza una solicitud LIST al certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • REGION: La región de Google Cloud de destino. para enumerar certificados de todas las regiones, usa - como valor.
  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • FILTER: Es una expresión que restringe el valor que se muestra. resultados a valores específicos.
  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • SORT_BY: una lista delimitada por comas de nombres de campo por los que los resultados que se muestran están ordenados. El orden predeterminado es ascendente; para orden de clasificación descendente, con el prefijo ~ en el campo.

Consulta el estado de un certificado

Para ver el estado de un certificado existente, incluido su estado de aprovisionamiento y otra información detallada, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto que están administrados mediante el Administrador de certificados, la página del Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa el gcloud CLI para enumerar tus certificados. Sin embargo, Si tienes un vínculo directo a la página Detalles del certificado, el Administrador de certificados de la consola de Google Cloud puede mostrarlos más detalles.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. En la pestaña Certificados, ve al certificado de destino y, luego, haz clic en el nombre del certificado.

En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  1. Opcional: Para ver la respuesta de REST de la API de Certificate Manager Para este certificado, haz clic en REST equivalente.

  2. Opcional: Si el certificado tiene una emisión de certificados asociada configuración que quieras ver y, luego, en el campo Issuance config haz clic en el nombre de la configuración de emisión de certificados asociada.

    La consola de Google Cloud muestra la configuración completa del certificado de la emisión de contenido.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.

API

Para ver el estado del certificado, realiza una solicitud GET al certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del objetivo. proyecto de Google Cloud.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

Borra un certificado

Para borrar un certificado del Administrador de certificados, completa el pasos en esta sección. Antes de borrar un certificado, debes quitarlo a partir de todas las entradas del mapa de certificados que hacen referencia a él; De lo contrario, la eliminación falla.

Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en la proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, selecciona la casilla de verificación del certificado que que quieres borrar.

  3. Haz clic en Borrar.

  4. En el diálogo que aparece, haz clic en Borrar para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: el Google Cloud de destino región. El valor predeterminado es global. Esta configuración es opcional.

API

Borra el certificado mediante una solicitud DELETE al certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

¿Qué sigue?