En esta página se ofrece una descripción general de los componentes y conceptos principales de Certificate Manager.
Certificados
Un certificado representa un único certificado X.509 de seguridad en la capa de transporte (TLS) (SSL) que se emite para nombres de dominio o comodines de dominio específicos.
Gestor de certificados admite los siguientes tipos de certificados:
- Certificados gestionados por Google: certificados que Google Google Cloud obtiene y gestiona por ti. Cuando se emite o renueva un certificado gestionado por Google, Gestor de certificados usa una clave privada recién generada para el certificado.
- Certificados autogestionados: son los que obtienes, proporcionas y renuevas tú mismo.
Certificados gestionados por Google
Los certificados gestionados por Google son certificados TLS que Google Google Cloud obtiene y gestiona por ti. Gestor de certificados te permite crear, gestionar y renovar automáticamente tus certificados gestionados por Google. Gestor de certificados también te permite verificar la propiedad del dominio mediante la autorización basada en balanceador de carga o en DNS.
Gestor de certificados admite la autoridad de certificación (AC) pública y la AC Let's Encrypt. De forma predeterminada, la CA pública emite certificados gestionados por Google. Si no puedes obtener un certificado de la AC pública para un dominio concreto, el Gestor de certificados recurre a la AC Let's Encrypt. Esto puede ocurrir cuando la CA pública se niega a emitir un certificado para un dominio o cuando tu registro de autorización de autoridad de certificación (CAA) prohíbe explícitamente que la CA pública emita certificados para ese dominio. Para obtener más información sobre cómo restringir las autoridades de certificación que pueden emitir certificados para tus dominios, consulta el artículo Especificar las autoridades de certificación que pueden emitir tu certificado gestionado por Google.
Algunos aspectos importantes que debes tener en cuenta al usar certificados gestionados por Google con Gestor de certificados:
- Certificate Manager admite certificados gestionados por Google RSA.
- Los certificados regionales gestionados por Google solo admiten la autorización basada en DNS y obtienen certificados de la AC pública.
- No se admite el uso de certificados gestionados por Google como certificados de cliente para TLS mutuo.
- La validez predeterminada de los certificados públicos gestionados por Google es de 90 días para todos los ámbitos, excepto
EDGE_CACHE, que tiene una validez de 30 días. No se puede cambiar la validez de los certificados públicos gestionados por Google.
Certificados públicos y privados
Gestor de certificados puede gestionar certificados públicos y privados. Gestor de certificados obtiene certificados públicos, que suelen proteger servicios públicos, de una AC pública. Los principales navegadores, sistemas operativos y aplicaciones reconocen a las CAs públicas como raíz de confianza. Certificate Manager obtiene certificados privados, que suelen proteger servicios privados, del Servicio de Autoridades de Certificación.
Certificados autogestionados
Si no puedes usar certificados gestionados por Google debido a los requisitos de tu empresa, puedes subir certificados emitidos por ACs externas junto con sus claves asociadas. Debes emitir y renovar estos certificados autogestionados manualmente.
Tipos de claves admitidos
Los balanceadores de carga admiten certificados que usan claves privadas de diferentes tipos de clave. En la siguiente tabla se muestra la compatibilidad con los tipos de clave en función de si los certificados son autogestionados o gestionados por Google.|
Tipo de certificado SSL arrow_forward Tipo de clave arrow_downward |
Certificados SSL de Certificate Manager | ||
|---|---|---|---|
| Globales y regionales | |||
| Autogestionado | Gestionado por Google y de confianza pública | Gestionado por Google con confianza privada | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizaciones de dominio
Gestor de certificados te permite demostrar la propiedad de los dominios para los que quieras emitir certificados gestionados por Google de una de las siguientes formas:
Autorización del balanceador de carga: implementa el certificado directamente en un balanceador de carga compatible sin crear un registro DNS.
Autorización de DNS: implementa el certificado directamente en un balanceador de carga compatible después de crear registros DNS específicos para verificar la propiedad del dominio.
Para obtener más información, consulta Tipos de autorización de dominio para certificados gestionados por Google.
No necesitas autorizaciones de dominio para los certificados autogestionados.
Mapas de certificados
Un mapa de certificados hace referencia a una o varias entradas de mapa de certificados que asignan certificados específicos a nombres de host específicos. Las entradas de mapa de certificados también definen la lógica de selección que sigue el balanceador de carga al establecer conexiones de cliente. Puede asociar un mapa de certificados con varios proxies de destino para reutilizarlo en varios balanceadores de carga.
Si un cliente solicita un nombre de host especificado en un mapa de certificados, el balanceador de carga proporciona los certificados asignados a ese nombre de host. De lo contrario, el balanceador de carga usará el certificado principal, que es el primero que aparece en la lista de un proxy de destino. Para obtener más información, consulta Cómo funciona Gestor de certificados.
Los siguientes balanceadores de carga admiten mapas de certificados:
- Balanceador de carga de aplicación externo global
- Balanceador de carga de red con proxy externo global
Para obtener más información sobre cómo crear y gestionar mapas de certificados, consulta Gestionar mapas de certificados.
Entradas de mapa de certificados
Una entrada de mapa de certificados es una lista de certificados que se sirven para un nombre de dominio específico. Puede definir diferentes conjuntos de certificados para el mismo dominio. Por ejemplo, puedes subir un certificado ECDSA y otro RSA, y asignarlos al mismo nombre de dominio.
Cuando un cliente se conecta a un nombre de dominio, el balanceador de carga negocia el tipo de certificado que se debe proporcionar al cliente durante el handshake.
Puedes asociar un máximo de cuatro certificados a una sola entrada de mapa de certificados.
Para obtener más información sobre cómo crear y gestionar entradas de mapa de certificados, consulta el artículo Gestionar entradas de mapa de certificados.
Configuraciones de confianza
Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en Certificate Manager para usarla en escenarios de autenticación TLS mutua. Encapsula un único almacén de confianza, que a su vez encapsula una ancla de confianza y, opcionalmente, uno o varios certificados intermedios.
Para obtener más información sobre la autenticación TLS mutua (mTLS), consulta la descripción general de TLS mutuo en la documentación de Cloud Load Balancing.
Para obtener más información sobre las configuraciones de confianza y sus componentes, consulta Gestionar configuraciones de confianza.
Almacenes de confianza
Un almacén de confianza representa la configuración secreta de confianza en Certificate Manager para usarla en escenarios de autenticación mutua TLS. Un almacén de confianza encapsula una única ancla de confianza y, opcionalmente, uno o varios certificados intermedios.
Se aplican las siguientes limitaciones a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un único almacén de confianza.
- Un almacén de confianza puede contener hasta 200 anclas de confianza y hasta 100 certificados de AC intermedios.
Anclas de confianza
Un ancla de confianza representa un único certificado raíz que se usa en escenarios de autenticación TLS mutua. Una ancla de confianza se encapsula en un almacén de confianza.
Certificados intermedios
Un certificado intermedio es un certificado firmado por un certificado raíz u otro certificado intermedio del almacén de confianza. Los certificados intermedios se usan para la autenticación TLS mutua.
Si tienes algún certificado intermedio, se pueden encapsular uno o varios certificados intermedios en un almacén de confianza, en función de la configuración de tu infraestructura de clave pública. Además de los certificados intermedios, la configuración de confianza incluye todos los certificados intermedios como parte de la evaluación de confianza de todas las solicitudes de conexión.
Certificados que requieren una lista de permitidos
Para permitir que los clientes se autentiquen con un certificado autofirmado, caducado o no válido, añade el certificado al campo allowlistedCertificates de la configuración de confianza. También puedes añadir el certificado si no tienes acceso a los certificados raíz e intermedio.
No necesitas un almacén de confianza para añadir un certificado a una lista de permitidas.
Cuando añades un certificado a la lista de permitidos, Gestor de certificados considera que el certificado es válido si cumple las siguientes condiciones:
- El certificado se puede analizar.
- El cliente demuestra que tiene la clave privada del certificado.
- Se cumplen las restricciones del campo Nombre alternativo del sujeto (SAN).
Configuraciones de emisión de certificados
Una configuración de emisión de certificados es un recurso que permite a Certificate Manager usar un grupo de AC de tu propia instancia de Servicio de Autoridades de Certificación para emitir certificados gestionados por Google. Una configuración de emisión de certificados te permite especificar parámetros de emisión y vencimiento de certificados, así como el algoritmo de clave de los certificados emitidos.
Para obtener más información sobre cómo crear y gestionar configuraciones de emisión de certificados, consulta Gestionar recursos de configuración de emisión de certificados.