Implementa un certificado autoadministrado regional

En este instructivo, se describe cómo usar el Administrador de certificados para implementar un certificado autoadministrado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Para implementar un certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional, adjunta el certificado directamente al proxy de destino. Para implementar un certificado en un balanceador de cargas de aplicaciones externo global, crea un mapa de certificados y adjúntalo al proxy de destino. Para obtener más información, consulta Implementa un certificado autoadministrado.

Objetivos

En este instructivo, se muestra cómo hacer lo siguiente:

Subir un certificado autoadministrado al Administrador de certificados
Implementa el certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional mediante un proxy HTTPS de destino.

Para obtener más información sobre el proceso de implementación de certificados, consulta Descripción general de la implementación.

Antes de comenzar

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Nota: Si no planeas conservar los recursos que creaste durante este procedimiento, crea un proyecto en lugar de seleccionar uno existente. Cuando termines, puedes borrar el proyecto y quitar todos los recursos asociados con él.

Ir al selector de proyectos
Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:
- Propietario del Administrador de certificados: Es obligatorio para crear y administrar los recursos del Administrador de certificados.
- Administrador del balanceador de cargas de Compute o Administrador de la red de Compute: Se necesita para crear y administrar el proxy de destino HTTPS.
Para obtener más información, consulta lo siguiente:
- Funciones y permisos del Administrador de certificados
- Roles y permisos de IAM de Compute Engine para Compute Engine
Nota: Si no se te asignan los permisos o roles, comunícate con el administrador de IAM que tiene el rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) para que te otorgue los roles faltantes.

Crea el balanceador de cargas

Crea el balanceador de cargas en el que deseas implementar el certificado.

Para crear un balanceador de cargas de aplicaciones externo regional, consulta Configura un balanceador de cargas de aplicaciones externo regional con backends de grupos de instancias de VM.
Si quieres crear un balanceador de cargas de aplicaciones interno regional, consulta Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.

En el resto de este instructivo, se supone que ya configuraste los backends, la verificación de estado, el servicio de backend y el mapa de URL del balanceador de cargas. Anota el nombre del mapa de URL porque lo necesitarás más adelante en este instructivo.

Solicita y valida un certificado

Para solicitar y validar un certificado autoadministrado, haz lo siguiente:

Usa una autoridad certificadora (AC) de terceros de confianza para emitir el certificado junto con su clave asociada.
Verifica que el certificado esté encadenado de forma correcta y sea de confianza.
Prepara los siguientes archivos con codificación PEM:
- Archivo de certificado (CRT)
- El archivo de clave privada correspondiente (KEY)

Para obtener información sobre cómo solicitar y validar un certificado, consulta Crea una clave privada y un certificado.

Subir un certificado autoadministrado al Administrador de certificados

Para subir el certificado al Administrador de certificados, ejecuta el siguiente comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="REGION"

Reemplaza lo siguiente:

CERTIFICATE_NAME: Es un nombre único del certificado.
CERTIFICATE_FILE: La ruta de acceso y el nombre de archivo del archivo de certificado de CRT
PRIVATE_KEY_FILE: La ruta de acceso y el nombre de archivo del archivo de claves privadas KEY
REGION: Es la región de Google Cloud de destino.

Implementa el certificado autoadministrado en un balanceador de cargas

Para implementar el certificado autoadministrado, crea un proxy de destino HTTPS y adjúntale el certificado.

Crea el proxy de destino HTTPS

Para crear el proxy de destino HTTPS y adjuntar el certificado, ejecuta el siguiente comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Reemplaza lo siguiente:

PROXY_NAME: Es un nombre único del proxy.
URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.
REGION: Es la región en la que crearás el proxy de destino HTTPS.
CERTIFICATE_NAME: Es el nombre del certificado.

Para verificar si se creó el proxy de destino, ejecuta el siguiente comando:

gcloud compute list target-https-proxies

Cree una regla de reenvío.

Configura una regla de reenvío y termina de configurar el balanceador de cargas.

Si usas un balanceador de cargas de aplicaciones externo regional, consulta Configura un balanceador de cargas de aplicaciones externo regional con backends de grupos de instancias de VM.
Si usas un balanceador de cargas de aplicaciones interno regional, consulta Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.

Limpia

Para revertir los cambios que realizaste en este instructivo, borra el certificado subido:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.