En este instructivo, se describe cómo usar el Administrador de certificados para implementar un certificado regional administrado por Google en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.
Para implementar un certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional, adjúntalo directamente al proxy de destino.
Objetivos
En este instructivo, se muestra cómo completar las siguientes tareas:
Crear un certificado administrado por Google emitido por una AC de confianza pública con DNS autorización con el Administrador de certificados. Para crear un certificado regional administrado por Google, debes usar la autorización de DNS por proyecto.
Implementar el certificado en un balanceador de cargas compatible con un HTTPS de destino proxy.
Para obtener más información sobre el proceso de implementación de certificados, consulta la descripción general de la implementación.
Antes de comenzar
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Se requiere la versión
465.0.0
o posterior de Google Cloud CLI para implementar el certificado. Para verificar tu versión de gcloud CLI, ejecuta el comando siguiente comando:gcloud --version
Para actualizar gcloud CLI, ejecuta el siguiente comando.
gcloud components update
Asegúrate de tener los siguientes roles para completar las tareas de esta instructivo:
- Propietario de Certificate Manager: Es obligatorio para crear y administrar recursos de Certificate Manager.
- Administrador del balanceador de cargas de Compute o Administrador de red de Compute: Obligatorio para crear y administrar un proxy HTTPS de destino.
- Administrador de DNS: es obligatorio si quieres usar Cloud DNS como solución de DNS.
Para obtener más información, consulta lo siguiente:
- Roles y permisos del Administrador de certificados
- Los roles de IAM de Compute Engine y permisos para Compute Engine
- Control de acceso con IAM para Cloud DNS
Crea un certificado regional administrado por Google
Completa los pasos de esta sección para crear una autorización de DNS y una Certificado administrado por Google que hace referencia a esa autorización de DNS
Crea una autorización de DNS
Crea la autorización de DNS como se describe en esta sección. Si creas una autorización de DNS para un certificado comodín, como *.myorg.example.com
, configura la autorización de DNS para el dominio superior, por ejemplo, myorg.example.com
.
Para un certificado regional administrado por Google, el tipo de autorización de DNS se establece exclusivamente en PER_PROJECT_RECORD
.
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --location="LOCATION" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \ --location="LOCATION"
Reemplaza lo siguiente:
AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS.DOMAIN_NAME
: Es el nombre del dominio para el que realizas la búsqueda. creando esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
.LOCATION
: Es la ubicación en la que creas la autorización de DNS.
El comando muestra un resultado como en el siguiente ejemplo. Usa el registro CNAME de la salida para agregarlo a tu configuración de DNS.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog. name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/us-central1/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Agrega el registro CNAME a tu configuración de DNS
Si usas Google Cloud para administrar tu DNS, completa los pasos en esta sección. De lo contrario, consulta la documentación de tu solución de DNS de terceros.
Antes de completar los pasos de esta sección, asegúrate de haber creado una zona DNS pública.
Cuando creas una autorización de DNS, el comando de gcloud CLI devuelve el registro CNAME correspondiente. Debes agregar este registro CNAME a tu configuración de DNS en la zona del DNS del dominio de destino de la siguiente manera:
gcloud
Inicia la transacción del registro DNS:
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
Reemplaza
DNS_ZONE_NAME
por el nombre del DNS de destino. zona.Agrega el registro CNAME a la zona del DNS de destino:
gcloud dns record-sets transaction add CNAME_RECORD_DATA \ --name="CNAME_RECORD_NAME" \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
Reemplaza lo siguiente:
CNAME_RECORD_DATA
: Es el valor de datos completo del CNAME. registro devuelto por el comando de gcloud CLI que creó la la autorización de DNS correspondiente.CNAME_RECORD_NAME
: Es el valor de nombre completo del registro CNAME que muestra el comando de la CLI de gcloud que creó la autorización de DNS correspondiente.DNS_ZONE_NAME
: Es el nombre de la zona de DNS de destino.
Consulta el siguiente ejemplo:
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog. \ --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com" \ --ttl="30" \ --type="CNAME" \ --zone="example-com"
Ejecuta la transacción del registro DNS para guardar los cambios:
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
Reemplaza
DNS_ZONE_NAME
por el nombre de la zona de DNS de destino.
Crea un certificado regional administrado por Google que haga referencia a la autorización de DNS
Para crear un certificado administrado por Google que haga referencia a la autorización de DNS, debes creado en los pasos anteriores, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Certificados.
Haz clic en Agregar certificado.
Ingresa un Nombre para el certificado.
Este nombre debe ser único para el proyecto.
Opcional: Ingresa la descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.
En Ubicación, elige Regional.
En la lista Región, selecciona una región.
En Tipo de certificado, elige Crear certificado administrado por Google.
En Tipo de autoridad certificadora, elige Pública.
Especifica los nombres de dominio del certificado. Ingresa un valor lista de los dominios de destino. Además, cada nombre de dominio debe ser un nombre de dominio, como
myorg.example.com
.En Tipo de autorización, elige Autorización de DNS. Si el botón tiene una autorización de DNS asociada, se seleccionará automáticamente. Si el nombre de dominio no tiene una autorización de DNS asociada, haz lo siguiente:
- Haz clic en Crear autorización de DNS faltante para mostrar el Cuadro de diálogo Crear autorización de DNS.
- En el campo Nombre de autorización de DNS, especifica el nombre de autorización de DNS.
- Haz clic en Crear autorización de DNS. Verifica que el nombre de DNS se asocie al nombre de dominio.
Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en el botón add_box Agregar etiqueta y especifica una
key
y unvalue
para tu etiqueta.Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.
gcloud
Ejecuta el comando siguiente:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAME
: Es el dominio de destino del certificado. El prefijo de asterisco punto (*.
) indica un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
.AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS que creaste para este certificado.LOCATION
: Es la ubicación en la que creas la Certificado administrado por Google.
Para crear un certificado administrado por Google con un nombre de dominio comodín, usa el siguiente comando. R nombre de dominio comodín abarca todos los subdominios de primer nivel de un dominio determinado.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.DOMAIN_NAME
: Es el dominio de destino del certificado. El prefijo*.
indica un certificado comodín. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com
.AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS que creaste para este certificado.LOCATION
: Es la ubicación en la que creas la Certificado administrado por Google.
Verifica que el certificado esté activo
Usa el siguiente comando para verificar que el certificado esté activo antes de implementarlo en tu balanceador de cargas. Pueden pasar hasta varias horas
estado del certificado para cambiar a ACTIVE
.
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ --location=LOCATION
Reemplaza lo siguiente:
CERTIFICATE_NAME
: Es un nombre único del certificado.LOCATION
: Es la ubicación en la que creaste el certificado administrado por Google.
El resultado es similar a este:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED dnsAuthorizations: - projects/my-project/locations/us-central1/dnsAuthorizations/myAuth domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/us-central1/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Implementa el certificado en un balanceador de cargas
Para implementar el certificado administrado por Google en un balanceador de cargas, completa los siguientes pasos:
Antes de continuar con las tareas de esta sección, asegúrate de haber completado las tareas enumeradas en el Crea un certificado regional administrado por Google sección.
Para implementar un certificado regional administrado por Google en un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno regional, adjúntalo directamente al proxy de destino.
Adjunta el certificado directamente al proxy de destino
Para adjuntar el certificado directamente al proxy, ejecuta el siguiente comando:
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --region=REGION \ --certificate-manager-certificates=CERTIFICATE_NAME
Reemplaza lo siguiente:
PROXY_NAME
: Es un nombre único del proxy.URL_MAP
: Es el nombre del mapa de URL que creaste cuando creaste el balanceador de cargas.REGION
: Es la región en la que se creará el proxy de destino HTTPS.CERTIFICATE_NAME
: el nombre del certificado
Limpia
Para revertir los cambios que realizaste en este instructivo, completa los siguientes pasos: pasos:
- Borra el certificado administrado por Google:
Reemplaza lo siguiente:gcloud certificate-manager certificates delete CERTIFICATE_NAME --location=LOCATION
CERTIFICATE_NAME
: Es el nombre del certificado.LOCATION
: Es la ubicación en la que creaste el certificado administrado por Google.
- Borra la autorización de DNS:
Reemplaza lo siguiente:gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME --location=LOCATION
AUTHORIZATION_NAME
: Es el nombre de la autorización de DNS.LOCATION
: Es la ubicación en la que creaste la autorización de DNS.