En este instructivo, se describe cómo usar el Administrador de certificados para implementar un certificado regional administrado por Google con CA Service en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.
Objetivos
En este instructivo, se muestra cómo completar las siguientes tareas:
- Crea un certificado administrado por Google con el servicio de CA mediante el Administrador de certificados.
- Implementa el certificado en un balanceador de cargas compatible mediante un proxy HTTPS de destino.
Para obtener más información sobre el proceso de implementación de certificados, consulta Descripción general de la implementación.
Antes de comenzar
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:
- Propietario del Administrador de certificados: Es obligatorio para crear y administrar los recursos del Administrador de certificados.
- Administrador del balanceador de cargas de Compute: Es obligatorio para crear y administrar el proxy de destino HTTPS.
- Administrador del servicio de CA: Es obligatorio para realizar acciones dentro del servicio de CA.
Para obtener más información, consulta lo siguiente:
- Funciones y permisos del Administrador de certificados
- Funciones y permisos de IAM de Compute Engine para Compute Engine
- Permisos y funciones para el servicio de CA
Crea un grupo de CA. Debes crear y habilitar al menos una AC en este grupo de AC.
Configura la integración de CA Service con el Administrador de certificados
Configura el Administrador de certificados para que se integre con el servicio de CA de la siguiente manera:
Crea una cuenta de servicio del Administrador de certificados en el proyecto de Google Cloud de destino:
gcloud beta services identity create \ --service=certificatemanager.googleapis.com \ --project=PROJECT_IDReemplaza
PROJECT_IDpor el ID del proyecto de Google Cloud de destino.
El comando muestra el nombre de la identidad de servicio creada, como se indica en el siguiente ejemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Otorga a la cuenta de servicio del Administrador de certificados el rol de solicitante de certificados del servicio de AC dentro del grupo de AC de destino de la siguiente manera:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterReemplaza lo siguiente:
CA_POOL: Es el ID del grupo de AC de destino.LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.
Crea un recurso de configuración de emisión de certificados para tu grupo de AC:
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME: Es el nombre único del recurso de configuración de emisión de certificados.CA_POOL: Es la ruta de acceso completa del recurso y el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.CERTIFICATE_LIFETIME: Es la vida útil del certificado en días. Los valores válidos van de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D). Esta configuración es opcional.ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil del certificado en el que se activa una renovación. El valor predeterminado es 66%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se produzca al menos 7 días después de su emisión y al menos 7 días antes de su vencimiento. Esta configuración es opcional.KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256orsa-2048. El valor predeterminado esrsa-2048. Esta configuración es opcional.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra la configuración de emisión de certificados.
Crea un certificado regional administrado por Google
Crea un certificado regional administrado por Google emitido por tu servicio de AC mediante el recurso de configuración de emisión de certificados creado en el paso anterior:
Consola
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la Descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Regional.
En la lista Región, selecciona una región.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, elige Privada.
Especifica los Nombres de dominio del certificado. Ingresa una lista delimitada por comas de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio completamente calificado, como
myorg.example.com.En Configuración de emisión de certificados, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón add_box Agregar etiqueta y especifica una
keyy unavaluepara tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
Ejecuta el siguiente comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config="ISSUANCE_CONFIG_NAME" \
--location="LOCATION"
Reemplaza lo siguiente:
CERTIFICATE_NAME: Es un nombre único del certificado.DOMAIN_NAMES: Una lista delimitada por comas de los dominios de destino para este certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.
API
Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
},
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.CERTIFICATE_NAME: Es un nombre único del certificado.DOMAIN_NAME: Es el dominio de destino de este certificado. El nombre de dominio debe ser un nombre de dominio completamente calificado, comoexample.comowww.example.com.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
Para obtener una descripción general del proceso de implementación de certificados, consulta Descripción general de la implementación.
Verifica que el certificado esté activo
Usa el siguiente comando para verificar que el certificado esté activo antes de implementarlo en tu balanceador de cargas. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.
gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \
--location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME: Es un nombre único del certificado.LOCATION: Es la ubicación de destino de Google Cloud. Debes especificar la misma ubicación que el grupo de AC, el recurso de configuración de emisión de certificados y el certificado administrado.
El comando muestra un resultado similar al siguiente:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/mylocation/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Implementa el certificado regional administrado por Google en un balanceador de cargas
Para implementar el certificado regional administrado por Google, crea un proxy de destino HTTPS y adjunta el certificado a él.
Crea el proxy de destino HTTPS
Para crear el proxy de destino HTTPS y conectar el certificado, ejecuta el siguiente comando:
gcloud compute target-https-proxies create PROXY_NAME \
--url-map=URL_MAP \
--region=REGION \
--certificate-manager-certificates=CERTIFICATE_NAME
Reemplaza lo siguiente:
PROXY_NAME: Es un nombre único del proxy.URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.REGION: Es la región en la que estás creando el proxy de destino HTTPS.CERTIFICATE_NAME: Es el nombre del certificado.
Para verificar si se creó el proxy de destino, ejecuta el siguiente comando:
gcloud compute target-https-proxies list
Cree una regla de reenvío.
Configura una regla de reenvío y termina de configurar el balanceador de cargas.
- Si usas un balanceador de cargas de aplicaciones externo regional, consulta Configura un balanceador de cargas de aplicaciones externo regional con backends de grupos de instancias de VM.
- Si usas un balanceador de cargas de aplicaciones interno regional, consulta Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.
Limpia
Para revertir los cambios que realizaste en este instructivo, completa los siguientes pasos:
Borra el certificado administrado por Google:
gcloud certificate-manager certificates delete CERTIFICATE_NAME --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME: Es el nombre del certificado.LOCATION: la ubicación de destino de Google Cloud
Borra el recurso de configuración de emisión de certificados:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME: Es el nombre del certificado.LOCATION: la ubicación de destino de Google Cloud
Borra el grupo de AC como se describe en Borra un grupo de AC.
Ten en cuenta que, para inhabilitar la última AC que habilitaste en el grupo de AC al que se hace referencia en el recurso de configuración de emisión de certificados o borrar todo el grupo de AC al que se hace referencia, primero debes borrar todos los recursos de configuración de emisión de certificados que hagan referencia a ese grupo de AC.
Soluciona problemas
Para obtener información sobre los pasos de solución de problemas, consulta Problemas relacionados con certificados emitidos por una instancia del servicio de CA.