Implementa un certificado global administrado por Google con Certificate Authority Service

En este instructivo, se muestra cómo usar el Administrador de certificados para implementar un certificado global administrado por Google con Certificate Authority Service.

Los siguientes balanceadores de cargas globales admiten certificados administrados por Google con Certificate Authority Service:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico
  • Balanceador de cargas de red del proxy externo global

Si deseas realizar implementaciones en balanceadores de cargas entre regiones o regionales, consulta lo siguiente:

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Crea un certificado administrado por Google con el servicio de AC mediante el Administrador de certificados.
  • Implementa el certificado en un balanceador de cargas compatible con un proxy HTTPS de destino.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager, Certificate Authority APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init
  12. Habilita la API de CA Service.
  13. Crea un grupo de AC. Debes crear y habilitar al menos una AC en este grupo de AC.

Antes de seguir los pasos de este instructivo, debes tener en cuenta lo siguiente:

  • Los certificados que creas con Certificate Authority Service no son de confianza pública. Para emitir certificados de confianza pública, crea certificados con autorización de DNS o autorización de balanceador de cargas.

  • Si hay una política de emisión de certificados vigente en el grupo de AC de destino, es posible que el aprovisionamiento de certificados falle por alguno de los siguientes motivos:

    • La política de emisión de certificados bloqueó el certificado solicitado. En este caso, no se te factura porque aún no se emitió el certificado.
    • La política aplicó cambios al certificado que no son compatibles con el Administrador de certificados. En este caso, se te factura porque se emitió el certificado, aunque no es totalmente compatible con el Administrador de certificados.

  • Los certificados TLS globales administrados por Google se pueden configurar para que se emitan desde un grupo de AC en cualquier región.

Roles obligatorios

Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

  • Propietario de Certificate Manager (roles/certificatemanager.owner)

    Es obligatorio para crear y administrar recursos de Certificate Manager.

  • Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) o administrador de redes de Compute (roles/compute.networkAdmin)

    Es obligatorio para crear y administrar el proxy de destino HTTPS.

  • Administrador del servicio de CA (roles/privateca.admin)

    Obligatorio para realizar acciones en el servicio de AC.

Para obtener más información, consulta lo siguiente:

Crea el balanceador de cargas

En este instructivo, se supone que ya creaste y configuraste los backends, las verificaciones de estado, los servicios de backend y los mapas de URL del balanceador de cargas. Si creaste un balanceador de cargas de aplicaciones externo, toma nota del nombre del mapa de URL, ya que lo necesitarás más adelante en este instructivo.

Si no creaste el balanceador de cargas, consulta las siguientes páginas para crear uno:

Configura la integración del Servicio de AC con el Administrador de certificados

Para integrar el servicio de AC con el Administrador de certificados, sigue estos pasos:

  1. En el proyecto de Google Cloud de destino, crea una cuenta de servicio de Certificate Manager:

    gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud de destino.

    El comando muestra el nombre de la identidad del servicio creada. Consulta el siguiente ejemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  2. Otorga a la cuenta de servicio de Certificate Manager el rol de solicitante de certificados del servicio de AC (roles/privateca.certificateRequester) dentro del grupo de AC de destino:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Reemplaza lo siguiente:

    • CA_POOL: Es el ID del grupo de AC de destino.
    • LOCATION: La Google Cloud ubicaciónLOCATION de destino.
    • SERVICE_ACCOUNT: El nombre completo de la cuenta de servicio que creaste en el paso 1.

  3. Crea un recurso de configuración de emisión de certificados para tu grupo de AC:

    Console

    1. En la consola de Google Cloud, ve a la página Administrador de certificados.

      Ir al Administrador de certificados

    2. En la pestaña Issuance Configs, haz clic en Create.

    3. En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.

    4. Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.

    5. En Ubicación, selecciona Global.

    6. Opcional: En el campo Duración, especifica la duración del certificado emitido en días. El valor debe estar entre 21 y 30 días (inclusive).

    7. Opcional: En el Porcentaje de período de rotación, especifica el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje de la ventana de rotación y del ciclo de vida.

    8. Opcional: En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.

    9. En la lista Grupo de AC, selecciona el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.

    10. En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    11. Haz clic en Crear.

    gcloud 

    gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL

    Reemplaza lo siguiente:

    • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados.
    • CA_POOL: Es la ruta de acceso y el nombre completos del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.

    Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra los recursos de configuración de emisión de certificados.

Crea un certificado administrado por Google emitido por tu instancia de Certificate Authority Service

Para crear un certificado administrado por Google emitido por tu instancia de Certificate Authority Service, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona Predeterminado.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Privada.

  9. En el campo Nombres de dominio, especifica una lista de nombres de dominio del certificado delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  10. En Select a certificate issuance config, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

  11. En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado global administrado por Google con el servicio de la autoridad certificadora, usa el comando certificate-manager certificates create con la marca issuance-config:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: el nombre del certificado
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_NAME: el nombre del certificado
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

Verifica el estado del certificado

Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, verifica la columna Estado del certificado.

gcloud

Para verificar el estado del certificado, ejecuta el siguiente comando:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado administrado por Google de destino.

El resultado es similar a este:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  domains:
  - myorg.example.com
  issuanceConfig: projects/myproject/locations/global/issuanceConfigs/myissuanceConfig
  state: ACTIVE
name: projects/myproject/locations/global/certificates/mycertificate
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.

Implementa el certificado en un balanceador de cargas

Para implementar el certificado global administrado por Google, usa un mapa de certificados.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada de mapa de certificados asociada con tu certificado:

gcloud

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados de destino.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

    Si creas certificados con un dominio comodín, especifica el nombre de host también con un comodín, como *.example.com.

Terraform

Para crear una entrada de mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada de mapa de certificados esté activa antes de adjuntar tu mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a este:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o a uno existente.

gcloud

Para adjuntar el mapa de certificados a un nuevo proxy de destino, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.
  • URL_MAP: Es el nombre del mapa de URL.

Para adjuntar el mapa de certificados a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Terraform

Para adjuntar el mapa de certificados al proxy de destino, puedes usar un recurso google_compute_target_https_proxy.

Cuando configures un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usará los certificados a los que hace referencia el mapa de certificados y, además, ignorará los certificados TLS (SSL) adjuntos directamente.

Soluciona problemas relacionados con los certificados emitidos por el servicio de AC

Si quieres conocer los pasos para solucionar problemas, consulta Problemas relacionados con los certificados emitidos por una instancia de Certificate Authority Service.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.

  1. Borra el balanceador de cargas y sus recursos.

    Consulta Limpia una configuración de balanceo de cargas.

  2. Borra o desconecta el mapa de certificados del proxy.

    Para borrar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Si deseas conservar el proxy HTTPS de destino, desconecta el mapa de certificados del proxy. Antes de quitar el mapa del certificado, ten en cuenta lo siguiente:

    • Si hay certificados TLS (SSL) conectados directamente al proxy, el desprendimiento del mapa de certificados hace que el proxy reanude el uso de esos certificados TLS (SSL) conectados directamente.
    • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede separar del proxy. Primero, debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder desvincular el mapa de certificados.

    Para desconectar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  3. Borra la entrada de mapa de certificados del mapa de certificados:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

  4. Borra el mapa de certificados:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

  5. Borra el certificado administrado por Google:

    Console

    1. En la consola de Google Cloud, ve a la página Administrador de certificados.

      Ir al Administrador de certificados

    2. En la pestaña Certificados, selecciona la casilla de verificación del certificado.

    3. Haz clic en Borrar.

    4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

    gcloud 

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

  6. Borra el recurso de configuración de emisión de certificados:

    Console

    1. En la consola de Google Cloud, ve a la página Administrador de certificados.

      Ir al Administrador de certificados

    2. En la pestaña Issuance Configs, selecciona la casilla de verificación del recurso de configuración de emisión.

    3. Haz clic en Borrar.

    4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

    gcloud 

     gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

    Reemplaza ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados de destino.

  7. Borra el grupo de AC.

    Para borrar el grupo de AC o inhabilitar la última AC habilitada en un grupo de AC al que hace referencia un recurso de configuración de emisión de certificados, borra todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de AC. Para obtener más información, consulta Cómo borrar un grupo de AC.

¿Qué sigue?