En este instructivo, se muestra cómo usar el Administrador de certificados para implementar un certificado autoadministrado global en un balanceador de cargas de aplicaciones interno entre regiones.
Si deseas realizar implementaciones en balanceadores de cargas externos globales o regionales, consulta lo siguiente:
Objetivos
En este instructivo, se muestra cómo completar las siguientes tareas:
- Sube un certificado autoadministrado al Administrador de certificados.
- Implementa el certificado en un balanceador de cargas compatible con un proxy HTTPS de destino.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Roles obligatorios
Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:
Propietario de Certificate Manager (
roles/certificatemanager.owner
)Es obligatorio para crear y administrar recursos de Certificate Manager.
Administrador de balanceador de cargas de Compute (
roles/compute.loadBalancerAdmin
) o administrador de redes de Compute (roles/compute.networkAdmin
)Es obligatorio para crear y administrar el proxy de destino HTTPS.
Para obtener más información, consulta lo siguiente:
- Roles y permisos del Administrador de certificados
- Funciones y permisos de IAM de Compute Engine para Compute Engine.
Crea el balanceador de cargas
En este instructivo, se supone que ya creaste y configuraste los backends, las verificaciones de estado, los servicios de backend y los mapas de URL del balanceador de cargas. Toma nota del nombre del mapa de URL, ya que lo necesitarás más adelante en este instructivo.
Si no creaste un balanceador de cargas de aplicaciones interno entre regiones, consulta Configura un balanceador de cargas de aplicaciones interno entre regiones con backends de grupos de instancias de VM.
Crea una clave privada y un certificado
Para crear una clave privada y un certificado, haz lo siguiente:
Usa una autoridad certificadora (AC) de terceros de confianza para emitir el certificado junto con su clave asociada.
Verifica que el certificado esté correctamente encadenado y que sea de confianza de la raíz.
Prepara los siguientes archivos codificados en PEM:
- El archivo de certificado (CRT)
- El archivo de clave privada correspondiente (KEY)
Para obtener información sobre cómo solicitar y validar un certificado, consulta Crea una clave privada y un certificado.
Sube un certificado autoadministrado al Administrador de certificados
Para subir el certificado al Administrador de certificados, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global.
En Alcance, selecciona Todas las regiones.
En Tipo de certificado, selecciona Crear certificado autoadministrado.
En el campo Certificado, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
- Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con
-----BEGIN CERTIFICATE-----
y terminar con-----END CERTIFICATE-----
.
En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:
- Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
- Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con
-----BEGIN PRIVATE KEY-----
y terminar con-----END PRIVATE KEY-----
.
En el campo Etiquetas, especifica las etiquetas que deseas asociar con el certificado. Para agregar una etiqueta, haz clic en
Agregar etiqueta y especifica una clave y un valor para tu etiqueta.Haz clic en Crear.
El certificado nuevo aparecerá en la lista de certificados.
gcloud
Para crear un certificado autoadministrado entre regiones, usa el comando certificate-manager certificates create
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --scope=all-regions
Reemplaza lo siguiente:
CERTIFICATE_NAME
: el nombre del certificadoCERTIFICATE_FILE
: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.PRIVATE_KEY_FILE
: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.
Terraform
Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate
con el bloque self_managed
.
API
Para subir el certificado, realiza una solicitud POST
al método certificates.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", scope: "ALL_REGIONS" } }
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto de Google Cloud.CERTIFICATE_NAME
: el nombre del certificadoPEM_CERTIFICATE
: El PEM del certificadoPEM_KEY
: La clave PEM.
Implementa el certificado autoadministrado en un balanceador de cargas
Para implementar el certificado autoadministrado global, adjúntalo directamente al proxy de destino.
Adjunta el certificado directamente al proxy de destino
Puedes adjuntar el certificado a un proxy de destino nuevo o a uno existente.
Para adjuntar el certificado a un nuevo proxy de destino, usa el comando gcloud compute
target-https-proxies create
:
gcloud compute target-https-proxies create PROXY_NAME \ --url-map=URL_MAP \ --certificate-manager-certificates=CERTIFICATE_NAME \ --global
Reemplaza lo siguiente:
PROXY_NAME
: Es el nombre del proxy de destino.URL_MAP
: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.CERTIFICATE_NAME
: el nombre del certificado
Para conectar el certificado a un proxy HTTPS de destino existente, usa el comando gcloud
compute target-https-proxies update
. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.
gcloud compute target-https-proxies update PROXY_NAME \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:
gcloud compute target-https-proxies list
Limpia
Para evitar que se generen cargos en tu cuenta de Google Cloud por los recursos que usaste en este instructivo, borra el certificado subido:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Reemplaza CERTIFICATE_NAME
por el nombre del certificado
de destino.
Si no planeas usar el balanceador de cargas, bórralo junto con sus recursos. Consulta Limpia una configuración de balanceo de cargas.