Administrar certificados

En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (SSL). El Administrador de certificados admite los siguientes tipos de certificados TLS (SSL):

  • Los certificados administrados por Google son certificados que Google Cloud obtiene y administra por ti. Puedes crear los siguientes tipos de certificados administrados por Google con el Administrador de certificados:
    • Certificados globales
      • Certificados administrados por Google con autorización del balanceador de cargas
      • Certificados administrados por Google con autorización de DNS
      • Certificados administrados por Google con Certificate Authority Service (Servicio de CA)
    • Certificados regionales
      • Certificados regionales administrados por Google
      • Certificados regionales administrados por Google con el servicio de CA
  • Los certificados autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo.

Para obtener más información sobre los certificados, consulta Cómo funciona el Administrador de certificados.

Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud CLI que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crea un certificado administrado por Google con autorización de balanceador de cargas

Para crear un certificado administrado por Google con autorización del balanceador de cargas, completa los pasos de esta sección. Solo puedes crear certificados administrados por Google con autorización del balanceador de cargas en la ubicación global.

Si quieres especificar varios nombres de dominio para el certificado, proporciona una lista delimitada por comas de nombres de dominio de destino para el certificado.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización del balanceador de cargas.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Terraform

Para crear un certificado administrado por Google, puedes usar un recurso google_certificate_manager_certificate con un bloque managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado administrado por Google con autorización de DNS

Para crear un certificado global administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones de DNS correspondientes que hagan referencia a cada uno de los nombres de dominio que incluye el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado regional administrado por Google, consulta Crea un certificado regional administrado por Google.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización de DNS. Si el nombre de dominio tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:

    1. Haz clic en Crear autorización de DNS faltante para mostrar el cuadro de diálogo Crear autorización de DNS.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de autorización de DNS.
    3. Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAMES: Es una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para este certificado.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un certificado de nombre de dominio comodín abarca todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El prefijo del punto de asterisco (*.) indica un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.

Terraform

Para crear un certificado administrado por Google con autorización de DNS, puedes usar un recurso google_certificate_manager_certificate con el atributo dns_authorizations en el bloque managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El prefijo de punto de asterisco (*.) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de las autorizaciones de DNS que creaste para este certificado.

Para administrar certificados en varios proyectos de forma independiente, puedes usar la autorización de DNS por proyecto (vista previa). Para obtener información sobre cómo crear certificados con autorización de DNS por proyecto, consulta Crea una autorización de DNS.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado administrado por Google emitido por CA Service

Para crear un certificado administrado por Google emitido por una instancia del servicio de CA bajo tu control, completa los pasos de esta sección. Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado regional administrado por Google emitido por el servicio de CA, consulta Crea un certificado regional administrado por Google emitido por el servicio de CA.

Para completar esta tarea, debes tener los siguientes roles en el proyecto de Google Cloud de destino:

Para obtener más información sobre los comandos de gcloud CLI que se usan en esta sección, consulta la referencia de la CLI del Administrador de certificados.

Configura la integración de CA Service con el Administrador de certificados

Si aún no lo hiciste, debes configurar el Administrador de certificados para que se integre con el Servicio de CA, como se describe en esta sección. Si una política de emisión de certificados está vigente en el grupo de AC de destino, el aprovisionamiento de certificados puede fallar por uno de los siguientes motivos:

  • La política de emisión de certificados bloqueó el certificado solicitado. En este caso, no se te facturará porque el certificado no se emitió.
  • La política aplicó cambios al certificado que no son compatibles con el Administrador de certificados. En este caso, se te seguirá facturando porque el certificado se emitió, incluso si no es del todo compatible con el Administrador de certificados.

Si tienes problemas relacionados con las restricciones de la política de emisión, consulta la página Solución de problemas.

Para configurar la integración de CA Service con el Administrador de certificados, haz lo siguiente:

  • Otorga al Administrador de certificados la capacidad de solicitar certificados del grupo de AC de destino:
    1. Usa el siguiente comando para crear una cuenta de servicio del Administrador de certificados en el proyecto de Google Cloud de destino:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

    El comando muestra el nombre de la cuenta de servicio creada. Por ejemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Otorga a la cuenta de servicio del Administrador de certificados la función de solicitante de certificado dentro del grupo de AC de destino de la siguiente manera:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • REGION: Es la región de Google Cloud de destino.
    • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

  1. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es un nombre único que identifica a este recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.
    • CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D). Esta configuración es opcional.
    • ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil del certificado en el que se activa una renovación. El valor predeterminado es 66%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se produzca al menos 7 días después de su emisión y al menos 7 días antes de su vencimiento. Esta configuración es opcional.
    • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta configuración es opcional.

    Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.

Crea un certificado administrado por Google emitido por tu instancia de CA Service

Crea un certificado administrado por Google emitido por tu instancia de CA Service de la siguiente manera:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Global.

  7. En Alcance, elige Predeterminado.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, elige Privada.

  10. Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  11. En Configuración de emisión de certificados, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado regional administrado por Google emitido por CA Service

Para crear un certificado regional administrado por Google emitido por una instancia del servicio de CA bajo tu control, completa los pasos de esta sección.

Configura la integración de CA Service con el Administrador de certificados

Configura el Administrador de certificados para que se integre con el servicio de CA de la siguiente manera:

  1. Crea una cuenta de servicio del Administrador de certificados en el proyecto de Google Cloud de destino:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

El comando muestra el nombre de la identidad de servicio creada, como se indica en el siguiente ejemplo:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Otorga a la cuenta de servicio del Administrador de certificados la función de solicitante de certificado dentro del grupo de AC de destino de la siguiente manera:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.
    • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

  2. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es el nombre único del recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.
    • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.
    • CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos van de 21 a 30 días en formato de duración estándar. El valor predeterminado es 30 días (30D). Esta configuración es opcional.
    • ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil del certificado en el que se activa una renovación. Esta configuración es opcional. El valor predeterminado es del 66%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento.
    • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta configuración es opcional.
    • DESCRIPTION: Es una descripción para el recurso de configuración de emisión de certificados. Esta configuración es opcional.

Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.

Crea un certificado regional administrado por Google emitido por tu servicio de CA.

Crea un certificado regional administrado por Google emitido por tu servicio de AC mediante el recurso de configuración de emisión de certificados creado en el paso anterior:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Regional.

  7. En la lista Región, selecciona una región.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, elige Privada.

  10. Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  11. En Configuración de emisión de certificados, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud

Ejecuta el siguiente comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAMES: Una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como example.com o www.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Crea un certificado regional administrado por Google

Para crear un certificado administrado por Google con autorización de DNS, haz lo siguiente:

  1. Crea las autorizaciones de DNS correspondientes que hagan referencia a cada uno de los nombres de dominio que incluye el certificado. Para obtener instrucciones, consulta Crea una autorización de DNS.
  2. Configura un registro CNAME válido para el subdominio de validación en la zona DNS del dominio de destino. Para obtener instrucciones, consulta Agrega el registro CNAME a tu configuración de DNS.
  3. Completa los pasos de esta sección.

Puedes crear certificados administrados por Google regional y global. Para obtener información sobre cómo crear un certificado global administrado por Google, consulta Crea un certificado administrado por Google con autorización de DNS.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Regional.

  7. En la lista Región, selecciona una región.

  8. En Tipo de certificado, elige Crear certificado administrado por Google.

  9. En Tipo de autoridad certificadora, selecciona Pública.

  10. Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  11. En Tipo de autorización, elige Autorización de DNS. Si el nombre de dominio tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:

    1. Haz clic en Crear autorización de DNS faltante para mostrar el cuadro de diálogo Crear autorización de DNS.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de autorización de DNS.
    3. Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.

  12. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  13. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud

Ejecuta el siguiente comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas el certificado administrado por Google.

Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. Un certificado de nombre de dominio comodín abarca todos los subdominios de primer nivel de un dominio determinado.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • DOMAIN_NAME: Es el dominio de destino del certificado. El prefijo de punto de asterisco (*.) significa un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS que creaste para este certificado.
  • LOCATION: Es la ubicación en la que creas el certificado administrado por Google.

Subir un certificado autoadministrado

Para subir un certificado autoadministrado, completa los pasos que se indican en esta sección. Puedes subir certificados X.509 TLS (SSL) globales y regionales de los siguientes tipos:

  • Certificados generados por las autoridades certificadoras (CA) externas que elijas
  • Certificados generados por autoridades certificadoras que están bajo tu control
  • Certificados autofirmados, como se describe en Crea una clave privada y un certificado

Debes subir los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de clave privada (.key) correspondiente

Consulta Descripción general de la implementación si quieres conocer los pasos necesarios para comenzar a entregar el certificado en tu balanceador de cargas.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige cualquiera de las siguientes opciones:

    • Global: Selecciona Global para que el certificado se pueda usar de manera global. Si eliges Global, en el menú desplegable Alcance, selecciona cualquiera de las siguientes opciones:
      • Predeterminado: Los certificados con un permiso predeterminado se entregan desde los centros de datos principales de Google.
      • Caché perimetral: Los certificados con este permiso son certificados especiales y se entregan desde los centros de datos de Google que no son principales.
      • Todas las regiones: Los certificados se entregan desde todas las regiones.
    • Regional: Selecciona Regional para que el certificado se pueda usar en una región en particular. Si eliges Regional, selecciona una región en la lista Región.

  7. En Tipo de certificado, elige Crear certificado autoadministrado.

  8. En el campo Certificado, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  10. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

  11. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado .crt.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre del archivo de claves privadas .key.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Para subir el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_NAME: Es un nombre único que describe este certificado.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.

Actualizar un certificado

Para actualizar un certificado existente sin modificar sus asignaciones a los nombres de dominio dentro del mapa de certificados correspondiente, completa los pasos de esta sección. Los SAN del certificado nuevo deben coincidir exactamente con los del certificado existente.

Para los certificados administrados por Google, solo puedes actualizar los campos description y labels. Para actualizar un certificado autoadministrado, debes subir los siguientes archivos con codificación PEM:

  • El archivo de certificado (.crt)
  • El archivo de clave privada (.key) correspondiente

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado .crt.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre del archivo de claves privadas .key.
  • DESCRIPTION: Es un valor de descripción único para este certificado.
  • LABELS: Es una lista de etiquetas separadas por comas que se aplican a este certificado.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.

API

Actualiza el certificado mediante una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • PEM_CERTIFICATE: Es el certificado PEM.
  • PEM_KEY: Es la clave PEM.
  • DESCRIPTION: Es una descripción significativa para este certificado.
  • LABEL_KEY: Es una clave de etiqueta que se aplica a este certificado.
  • LABEL_VALUE: Es un valor de etiqueta que se aplica a este certificado.

Mostrar lista de certificados

Para enumerar los certificados administrados por el Administrador de certificados, completa los pasos de esta sección. Por ejemplo, puedes realizar las siguientes consultas:

  • Enumerar los certificados por sus nombres de dominio asignados
  • Enumerar los certificados vencidos

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto que administra el Administrador de certificados, no se pueden mostrar en la página Administrador de certificados de la consola de Google Cloud. En esos casos, usa el comando de gcloud CLI para enumerar tus certificados.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados. En esta pestaña, se enumeran todos los certificados administrados por el Administrador de certificados en el proyecto seleccionado.

En la pestaña Certificados clásicos, se enumeran los certificados del proyecto seleccionado que se aprovisionaron directamente a través de Cloud Load Balancing. A estos certificados no los administra el Administrador de certificados. Si quieres obtener instrucciones para administrar esos certificados, consulta uno de los siguientes artículos en la documentación de Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • REGION: Es la región de Google Cloud de destino. Para enumerar los certificados de todas las regiones, usa - como el valor. El valor predeterminado es global. Esta configuración es opcional.
  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:
    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Ordena y filtra resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.
  • SORT_BY: Una lista delimitada por comas de campos name según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para un orden de clasificación descendente, debes agregar el prefijo ~ al campo.

API

Para obtener una lista de los certificados, realiza una solicitud LIST al método certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • REGION: Es la región de Google Cloud de destino. Para enumerar los certificados de todas las regiones, usa - como el valor.
  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.
  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • SORT_BY: Una lista delimitada por comas de nombres de campos según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, prefija el campo con ~.

Consulta el estado de un certificado

Para ver el estado de un certificado existente, incluido su estado de aprovisionamiento y otra información detallada, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Console

Si tienes más de 10,000 certificados en tu proyecto que administra el Administrador de certificados, no se pueden mostrar en la página Administrador de certificados de la consola de Google Cloud. En esos casos, usa el comando de gcloud CLI para enumerar tus certificados en su lugar. Sin embargo, si tienes un vínculo directo a la página Detalles del certificado, la página Administrador de certificados de la consola de Google Cloud puede mostrar esos detalles.

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. En la pestaña Certificados, ve al certificado de destino y haz clic en el nombre del certificado.

En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  1. Opcional: Si quieres ver la respuesta de REST de la API de Certificate Manager para este certificado, haz clic en REST equivalente.

  2. Opcional: Si el certificado tiene una configuración de emisión de certificados asociada que deseas ver, en el campo Configuración de emisión, haz clic en el nombre de la configuración de emisión de certificados asociada.

    En la consola de Google Cloud, se muestra la configuración completa de la configuración de emisión de certificados.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.

API

Para ver el estado del certificado, realiza una solicitud GET al método certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

Borra un certificado

Para borrar un certificado del Administrador de certificados, completa los pasos de esta sección. Antes de borrar un certificado, debes quitarlo de todas las entradas del mapa de certificados que hagan referencia a él; de lo contrario, la eliminación fallará.

Para completar esta tarea, debes tener la función de propietario del administrador de certificados en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, selecciona la casilla de verificación del certificado que deseas borrar.

  3. Haz clic en Borrar.

  4. En el diálogo que aparece, haz clic en Borrar para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es el nombre del certificado de destino.
  • REGION: Es la región de Google Cloud de destino. El valor predeterminado es global. Esta configuración es opcional.

API

Para borrar el certificado, realiza una solicitud DELETE al método certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • REGION: Es la región de Google Cloud de destino.
  • CERTIFICATE_NAME: Es el nombre del certificado de destino.

¿Qué sigue?