Implementa un certificado regional administrado por Google con Certificate Authority Service

Cómo configurar la integración del Servicio de CA con el Administrador de certificados

Configura el Administrador de certificados para integrarlo al servicio de CA de la siguiente manera:

1. Crea una cuenta de servicio del Administrador de certificados en el proyecto de destino de Google Cloud:

   gcloud beta services identity create \
       --service=certificatemanager.googleapis.com \
       --project=PROJECT_ID
   

   Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

El comando muestra el nombre de la identidad de servicio creada, como aparece en el siguiente ejemplo:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

1. Otorga a la cuenta de servicio del Administrador de certificados el rol de solicitante de certificado de servicio de CA dentro del grupo de AC de destino de la siguiente manera:

   gcloud privateca pools add-iam-policy-binding CA_POOL \
       --location LOCATION \
       --member "serviceAccount:SERVICE_ACCOUNT" \
       --role roles/privateca.certificateRequester
   

   Reemplaza lo siguiente:

   • CA_POOL: Es el ID del grupo de AC de destino.
   • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.
   • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

2. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

   gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
       --ca-pool=CA_POOL \
       --location=LOCATION> \
       [--lifetime=CERTIFICATE_LIFETIME] \
       [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
       [--key-algorithm=KEY_ALGORITHM]
   

   Reemplaza lo siguiente:

   • ISSUANCE_CONFIG_NAME: Es el nombre único del recurso de configuración de emisión de certificados.
   • CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.
   • LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.
   • CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración estándar. El valor predeterminado es de 30 días (30D). Esta configuración es opcional.
   • ROTATION_WINDOW_PERCENTAGE: El porcentaje del ciclo de vida del certificado en el que se activa una renovación. El valor predeterminado es un 66%. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento. Este parámetro de configuración es opcional.
   • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Este parámetro de configuración es opcional.

Si quieres obtener más información sobre los recursos de configuración de la emisión de certificados, consulta Administra la configuración de la emisión de certificados.

Crear un certificado regional administrado por Google

Crea un certificado regional administrado por Google emitido por tu servicio de AC con el recurso de configuración de emisión de certificados creado en el paso anterior:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 },
}

Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.

Verifica que el certificado esté activo

Usa el siguiente comando para verificar que el certificado esté activo antes de implementarlo en tu balanceador de cargas. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

Reemplaza lo siguiente:

• CERTIFICATE_NAME: Es un nombre único del certificado.
• LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de la AC, el recurso de configuración de emisión de certificados y el certificado administrado.

El comando muestra un resultado similar al siguiente:

certificatePem: myPEM
createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
domains:
-   myorg.example.com
issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig
state: ACTIVE
name: projects/myproject/locations/mylocation/certificates/mycertificate
scope: myScope
subjectAlternativeNames:- - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Implementa el certificado regional administrado por Google en un balanceador de cargas

Para implementar el certificado regional administrado por Google, crea un proxy de destino HTTPS y adjunta el certificado.

Crea el proxy de destino HTTPS

Para crear el proxy de destino HTTPS y adjuntar el certificado, ejecuta el siguiente comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Reemplaza lo siguiente:

• PROXY_NAME: Es un nombre único del proxy.
• URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.
• REGION: Es la región en la que creas el proxy de destino HTTPS.
• CERTIFICATE_NAME: Es el nombre del certificado.

Para verificar si se creó el proxy de destino, ejecuta el siguiente comando:

gcloud compute list target-https-proxies

Cree una regla de reenvío.

Configura una regla de reenvío y termina de configurar el balanceador de cargas.

• Si usas un balanceador de cargas de aplicaciones externo regional, consulta Configura un balanceador de cargas de aplicaciones externo regional con backends de grupos de instancias de VM.
• Si usas un balanceador de cargas de aplicaciones interno regional, consulta Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.

Limpia

Para revertir los cambios que realizaste en este instructivo, completa los siguientes pasos:

1. Borra el certificado administrado por Google:

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
       --location=LOCATION
   

Reemplaza lo siguiente:

• CERTIFICATE_NAME: Es el nombre del certificado.
• LOCATION: Es la ubicación de destino de Google Cloud.

1. Borra el recurso de configuración de emisión de certificados:

   gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
       --location=LOCATION
   

Reemplaza lo siguiente:

• CERTIFICATE_NAME: Es el nombre del certificado.
• LOCATION: Es la ubicación de destino de Google Cloud.

1. Borra el grupo de AC como se describe en Borra un grupo de AC.

   Ten en cuenta que, para inhabilitar la última AC que habilitaste en el grupo de AC al que se hace referencia en el recurso de configuración de emisión de certificados o para borrar todo el grupo de AC al que se hace referencia, primero debes borrar todos los recursos de configuración de emisión de certificados que hagan referencia a ese grupo de AC.

Soluciona problemas

Si quieres conocer los pasos para solucionar problemas, consulta Problemas relacionados con los certificados emitidos por una instancia de servicio de CA.