Administrar certificados

En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (SSL). El Administrador de certificados admite los siguientes tipos de certificados TLS (SSL):

  • Los certificados administrados por Google son certificados que Google Cloud obtiene y administra por ti. Con el Administrador de certificados, puedes crear los siguientes tipos de certificados administrados por Google:
    • Certificados globales
      • Certificados administrados por Google con autorización de balanceador de cargas
      • Certificados administrados por Google con autorización de DNS
      • Certificados administrados por Google con Certificate Authority Service (CA Service)
    • Certificados regionales
      • Certificados regionales administrados por Google
      • Certificados regionales administrados por Google con CA Service
  • Los certificados autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo.

Para obtener más información sobre los certificados, consulta Cómo funciona el Administrador de certificados.

Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud CLI que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crear un certificado administrado por Google con autorización del balanceador de cargas

Para crear un certificado administrado por Google con autorización del balanceador de cargas, completa los pasos de esta sección. Solo puedes crear certificados administrados por Google con autorización de balanceador de cargas en la ubicación global.

Si quieres especificar varios nombres de dominio para el certificado, proporciona una lista delimitada por comas de nombres de dominio de destino para el certificado.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Terraform

Para crear un certificado administrado por Google, puedes usar un recurso google_certificate_manager_certificate con un bloque managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino para este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crear un certificado administrado por Google con autorización de DNS

Para crear un certificado global administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones DNS correspondientes que hagan referencia a cada uno de los nombres de dominio que incluye el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona del DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear regional y global certificados administrados por Google. Para obtener información sobre cómo crear un certificado regional administrado por Google, consulta Crea un certificado regional administrado por Google.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAMES: Es una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para este certificado.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un certificado de nombre de dominio comodín abarca todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" --dns-authorizations=AUTHORIZATION_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino para este certificado. El prefijo de punto de asterisco (*.) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.

Terraform

Para crear un certificado administrado por Google con autorización de DNS, puedes usar un recurso google_certificate_manager_certificate con el atributo dns_authorizations en el bloque managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino para este certificado. El prefijo de punto de asterisco (*.) hace referencia a un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de las autorizaciones del DNS que creaste para este certificado.

Para administrar certificados de forma independiente en varios proyectos, puedes usar la autorización de DNS por proyecto (Vista previa). Para obtener información sobre la creación de certificados con autorización DNS por proyecto, consulta Crea una autorización DNS.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crear un certificado administrado por Google emitido por el Servicio de CA

Para crear un certificado administrado por Google emitido por una instancia del Servicio de CA que esté bajo tu control, completa los pasos de esta sección. Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado regional administrado por Google emitido por el servicio de CA, consulta Crea un certificado regional administrado por Google emitido por el servicio de CA.

Para completar esta tarea, debes tener los siguientes roles en el proyecto de destino de Google Cloud:

Para obtener más información sobre los comandos de gcloud CLI que se usan en esta sección, consulta la referencia de la CLI del Administrador de certificados.

Cómo configurar la integración del Servicio de CA con el Administrador de certificados

Si aún no lo hiciste, debes configurar el Administrador de certificados para que se integre al Servicio de CA como se describe en esta sección. Si una política de emisión de certificados está activa en el grupo de AC de destino, el aprovisionamiento de certificados puede fallar por uno de los siguientes motivos:

  • La política de emisión de certificados bloqueó el certificado solicitado. En este caso, no se te facturará porque no se emitió el certificado.
  • La política aplicó cambios al certificado que no son compatibles con el Administrador de certificados. En este caso, se te facturará debido a que se emitió el certificado, incluso si no es del todo compatible con el Administrador de certificados.

Para resolver cualquier problema relacionado con las restricciones de las políticas de emisión, consulta la página Solución de problemas.

Para configurar la integración de CA Service con el Administrador de certificados, haz lo siguiente:

  • Otorga al Administrador de certificados la capacidad de solicitar certificados del grupo de AC de destino:
    1. Usa el siguiente comando para crear una cuenta de servicio del Administrador de certificados en el proyecto de destino de Google Cloud:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

    El comando muestra el nombre de la cuenta de servicio creada. Por ejemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Otorga a la cuenta de servicio del Administrador de certificados la función de solicitante de certificados dentro del grupo de AC de destino de la siguiente manera:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • REGION: Es la región de Google Cloud de destino.
    • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

  1. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es un nombre único que identifica este recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.
    • CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración estándar. El valor predeterminado es de 30 días (30D). Esta configuración es opcional.
    • ROTATION_WINDOW_PERCENTAGE: El porcentaje del ciclo de vida del certificado en el que se activa una renovación. El valor predeterminado es un 66%. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento. Este parámetro de configuración es opcional.
    • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Este parámetro de configuración es opcional.

    Si quieres obtener más información sobre los recursos de configuración de la emisión de certificados, consulta Administra la configuración de la emisión de certificados.

Crea un certificado administrado por Google que emita tu instancia de Servicio de CA

Crea un certificado administrado por Google emitido por tu instancia del Servicio de CA de la siguiente manera:

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino para este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crear un certificado regional administrado por Google emitido por el Servicio de CA

Para crear un certificado regional administrado por Google emitido por una instancia de servicio de AC que esté bajo tu control, completa los pasos de esta sección.

Cómo configurar la integración del Servicio de CA con el Administrador de certificados

Configura el Administrador de certificados para integrarlo al servicio de CA de la siguiente manera:

  1. Crea una cuenta de servicio del Administrador de certificados en el proyecto de destino de Google Cloud:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

El comando muestra el nombre de la identidad de servicio creada, como aparece en el siguiente ejemplo:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Otorga a la cuenta de servicio del Administrador de certificados la función de solicitante de certificados dentro del grupo de AC de destino de la siguiente manera:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.
    • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

  2. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es el nombre único del recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.
    • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.
    • CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración estándar. El valor predeterminado es 30 días (30D). Esta configuración es opcional.
    • ROTATION_WINDOW_PERCENTAGE: El porcentaje del ciclo de vida del certificado en el que se activa una renovación. Esta configuración es opcional. El valor predeterminado es del 66%. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento.
    • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Este parámetro de configuración es opcional.
    • DESCRIPTION: Es una descripción del recurso de configuración de emisión de certificados. Este parámetro de configuración es opcional.

Si quieres obtener más información sobre los recursos de configuración de la emisión de certificados, consulta Administra la configuración de la emisión de certificados.

Crea un certificado regional administrado por Google emitido por tu servicio de CA

Crea un certificado regional administrado por Google emitido por tu servicio de AC con el recurso de configuración de emisión de certificados creado en el paso anterior:

gcloud

Ejecuta el siguiente comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAMES: Es una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como example.com, www.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crear un certificado regional administrado por Google

Para crear un certificado administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones DNS correspondientes que hagan referencia a cada uno de los nombres de dominio que incluye el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona del DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear regional y global certificados administrados por Google. Para obtener información sobre cómo crear un certificado global administrado por Google, consulta Crea un certificado administrado por Google con autorización de DNS.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud

Ejecuta el siguiente comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas el certificado administrado por Google.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un certificado de nombre de dominio comodín abarca todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El prefijo de punto de asterisco (*.) hace referencia a un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas el certificado administrado por Google.

Subir un certificado autoadministrado

Para subir un certificado autoadministrado, completa los pasos de esta sección. Puedes subir certificados globales y regionales de X.509 TLS (SSL) de los siguientes tipos:

  • Certificados generados por las autoridades certificadoras (AC) de terceros que elijas
  • Certificados generados por autoridades certificadoras bajo tu control
  • Certificados autofirmados, como se describe en Crea una clave privada y un certificado

Debes subir los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de claves privadas (.key) correspondiente

Consulta Descripción general de la implementación si quieres conocer los pasos necesarios para comenzar a entregar el certificado en el balanceador de cargas.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado .crt.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de claves privadas .key.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Para subir el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.

Cómo actualizar un certificado

Para actualizar un certificado existente sin modificar sus asignaciones a nombres de dominio dentro del mapa de certificados correspondiente, completa los pasos de esta sección. Los SAN del certificado nuevo deben coincidir exactamente con los SAN del certificado existente.

Para los certificados administrados por Google, solo puedes actualizar los campos description y labels. Para actualizar un certificado autoadministrado, debes subir los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de claves privadas (.key) correspondiente

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado .crt.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de claves privadas .key.
  • DESCRIPTION: Es un valor de descripción único para este certificado.
  • LABELS: Es una lista de etiquetas separadas por comas aplicadas a este certificado.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.

API

Para actualizar el certificado, realiza una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • DESCRIPTION: Es una descripción significativa para este certificado.
  • LABEL_KEY: Es una clave de etiqueta aplicada a este certificado.
  • LABEL_VALUE: Es un valor de etiqueta que se aplica a este certificado.

Mostrar lista de certificados

Para enumerar los certificados administrados por el Administrador de certificados, completa los pasos en esta sección. Por ejemplo, puedes realizar las siguientes consultas:

  • Enumera los certificados por sus nombres de dominio asignados
  • Enumera los certificados vencidos

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto administrados por el Administrador de certificados, la página Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa el comando de gcloud CLI para enumerar los certificados.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados. En esta pestaña, se enumeran todos los certificados que administra el Administrador de certificados en el proyecto seleccionado.

En la pestaña Certificados clásicos, se muestran los certificados del proyecto seleccionado que se aprovisionaron directamente a través de Cloud Load Balancing. El Administrador de certificados no administra estos certificados. Si deseas obtener instrucciones para administrar esos certificados, consulta uno de los siguientes artículos en la documentación de Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • REGION: Es la región de Google Cloud de destino. Para enumerar los certificados de todas las regiones, usa - como valor. El valor predeterminado es global. Este parámetro de configuración es opcional.
  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:
    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para ver más ejemplos de filtros que puedes usar con el Administrador de certificados, consulta Ordena y filtra los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.
  • SORT_BY: Es una lista delimitada por comas de campos name según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo ~ al campo.

API

Para enumerar los certificados, realiza una solicitud LIST al método certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • REGION: Es la región de Google Cloud de destino. Para enumerar los certificados de todas las regiones, usa - como valor.
  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.
  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • SORT_BY: Es una lista delimitada por comas de nombres de campo según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo ~ al campo.

Consulta el estado de un certificado

Para ver el estado de un certificado existente, incluido el estado de aprovisionamiento y otra información detallada, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto administrados por el Administrador de certificados, la página Administrador de certificados en la consola de Google Cloud no puede enumerarlos. En esos casos, usa el comando de gcloud CLI para enumerar los certificados. Sin embargo, si tienes un vínculo directo a la página Detalles del certificado, puedes usar la página Administrador de certificados en la consola de Google Cloud.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. En la pestaña Certificados, ve al certificado de destino y haz clic en el nombre del certificado.

En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  1. Opcional: Para ver la respuesta de REST de la API de Certificate Manager para este certificado, haz clic en REST equivalente.

  2. Opcional: Si el certificado tiene una configuración de emisión de certificados asociada que quieres ver, haz clic en el nombre de la configuración de emisión de certificados asociada en el campo Configuración de emisión.

    En la consola de Google Cloud, se muestra la configuración completa de la emisión de certificados.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.

API

Puedes ver el estado del certificado mediante una solicitud GET al método certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

Cómo borrar un certificado

Para borrar un certificado del Administrador de certificados, completa los pasos de esta sección. Antes de borrar un certificado, debes quitarlo de todas las entradas del mapa de certificados que hagan referencia a él; de lo contrario, la eliminación fallará.

Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en el proyecto de destino de Google Cloud.

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, selecciona la casilla de verificación del certificado que deseas borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Este parámetro de configuración es opcional.

API

Para borrar el certificado, realiza una solicitud DELETE al método certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

¿Qué sigue?