Implementa un certificado autoadministrado regional


En este instructivo, se describe cómo usar el Administrador de certificados para implementar un certificado autoadministrado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Para implementar un certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional, adjúntalo directamente al proxy de destino. Para implementar un certificado en un balanceador de cargas de aplicaciones externo global, crea un mapa de certificados y adjúntalo al proxy de destino. Para obtener más información, consulta Implementa un certificado autoadministrado.

Objetivos

En este instructivo, se muestra cómo hacer lo siguiente:

  • Sube un certificado autoadministrado al Administrador de certificados.
  • Implementar el certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional mediante un proxy HTTPS de destino

Para obtener más información sobre el proceso de implementación de certificados, consulta la descripción general de la implementación.

Antes de comenzar

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

    • Propietario del Administrador de certificados: Es obligatorio para crear y administrar los recursos del Administrador de certificados.
    • Administrador del balanceador de cargas de Compute o Administrador de red de Compute: Es obligatorio para crear y administrar el proxy de destino HTTPS.

    Para obtener más información, consulta lo siguiente:

Crea el balanceador de cargas

Crea el balanceador de cargas en el que deseas implementar el certificado.

En el resto de este instructivo, se supone que ya configuraste los backends, la verificación de estado, el servicio de backend y el mapa de URL del balanceador de cargas. Anota el nombre del mapa de URLs, ya que lo necesitarás más adelante en este instructivo.

Solicita y valida un certificado

Para solicitar y validar un certificado autoadministrado, haz lo siguiente:

  1. Usar una autoridad certificadora (AC) externa de confianza para emitir el certificado junto con su clave asociada

  2. Verifica que el certificado esté encadenado correctamente y que el dispositivo sea de confianza con la raíz.

  3. Prepara los siguientes archivos con codificación PEM:

    • El archivo de certificado (CRT)
    • El archivo de claves privadas correspondiente (KEY)

Para obtener información sobre cómo solicitar y validar un certificado, consulta Crea una clave privada y un certificado.

Subir un certificado autoadministrado al Administrador de certificados

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. Haz clic en Agregar certificado.

  4. Ingresa un Nombre para el certificado.

    Este nombre debe ser único para el proyecto.

  5. Opcional: Ingresa la descripción del certificado. La descripción te ayuda a identificar un certificado específico más adelante.

  6. En Ubicación, elige Regional.

  7. En la lista Región, selecciona una región.

  8. En Tipo de certificado, elige Crear certificado autoadministrado.

  9. En el campo Certificado, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.
  10. En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu la clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. El las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y finalizan con -----END PRIVATE KEY-----.
  11. Especifica una etiqueta para asociar al certificado. Puedes agregar más de una etiqueta, si es necesario. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una key y una value para tu etiqueta.

  12. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

gcloud

Para subir el certificado al Administrador de certificados, ejecuta el siguiente comando:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 
--certificate-file="CERTIFICATE_FILE"
--private-key-file="PRIVATE_KEY_FILE"
--location="REGION"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: Es un nombre único del certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre del archivo de claves privadas KEY.
  • REGION: Es la región de Google Cloud de destino.

Implementa el certificado autoadministrado en un balanceador de cargas

Para implementar el certificado administrado de forma independiente, crea un proxy HTTPS de destino y adjúntalo.

Crea el proxy de destino HTTPS

Para crear el proxy de destino HTTPS y adjuntar el certificado, ejecuta el siguiente comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROXY_NAME: Es un nombre único del proxy.
  • URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creó el balanceador de cargas.
  • REGION: Es la región en la que estás creando el proxy de destino HTTPS.
  • CERTIFICATE_NAME: Es el nombre del certificado.

Para verificar si se creó el proxy de destino, ejecuta el siguiente comando:

gcloud compute list target-https-proxies

Cree una regla de reenvío.

Configura una regla de reenvío y termina de configurar el balanceador de cargas.

Limpia

Para revertir los cambios que realizaste en este instructivo, borra el certificado subido:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

¿Qué sigue?