Implementa un certificado autoadministrado global

En este instructivo, se muestra cómo usar el Administrador de certificados para implementar un certificado global autoadministrado.

Los siguientes balanceadores de cargas admiten certificados autoadministrados globales:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico
  • Balanceador de cargas de red del proxy externo global
  • Balanceador de cargas de red del proxy clásico

Si deseas realizar implementaciones en balanceadores de cargas regionales o entre regiones, consulta lo siguiente:

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Sube un certificado autoadministrado al Administrador de certificados.
  • Implementa el certificado en un balanceador de cargas compatible con un proxy HTTPS de destino.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Roles obligatorios

Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

  • Propietario de Certificate Manager (roles/certificatemanager.owner)

    Es obligatorio para crear y administrar recursos de Certificate Manager.

  • Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) o administrador de redes de Compute (roles/compute.networkAdmin)

    Es obligatorio para crear y administrar el proxy de destino HTTPS.

Para obtener más información, consulta lo siguiente:

Crea el balanceador de cargas

En este instructivo, se supone que ya creaste y configuraste los backends, las verificaciones de estado, los servicios de backend y los mapas de URL del balanceador de cargas. Si creaste un balanceador de cargas de aplicaciones externo, toma nota del nombre del mapa de URL, ya que lo necesitarás más adelante en este instructivo.

Si no creaste el balanceador de cargas, consulta las siguientes páginas para crear uno:

Crea una clave privada y un certificado

Para crear una clave privada y un certificado, haz lo siguiente:

  1. Usa una autoridad certificadora (AC) de terceros de confianza para emitir el certificado junto con su clave asociada.

  2. Verifica que el certificado esté correctamente encadenado y que sea de confianza de la raíz.

  3. Prepara los siguientes archivos codificados en PEM:

    • El archivo de certificado (CRT)
    • El archivo de clave privada correspondiente (KEY)

Para obtener información sobre cómo solicitar y validar un certificado, consulta Crea una clave privada y un certificado.

Sube un certificado autoadministrado al Administrador de certificados

Para subir el certificado al Administrador de certificados, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona Predeterminado.

  7. En Tipo de certificado, selecciona Crear certificado autoadministrado.

  8. En el campo Certificado, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza cualquiera de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  10. En el campo Etiquetas, especifica las etiquetas que deseas asociar con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  11. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado autoadministrado global, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: el nombre del certificado
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Para subir el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_NAME: el nombre del certificado
  • PEM_CERTIFICATE: El PEM del certificado
  • PEM_KEY: La clave PEM.

Implementa el certificado autoadministrado en un balanceador de cargas

Para implementar el certificado autoadministrado global, usa un mapa de certificados.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada de mapa de certificados asociada con tu certificado:

gcloud

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados de destino.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

    Si creas certificados con un dominio comodín, especifica el nombre de host también con un comodín, como *.example.com.

Terraform

Para crear una entrada de mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada de mapa de certificados esté activa antes de adjuntar tu mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a este:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o a uno existente.

gcloud

Para adjuntar el mapa de certificados a un nuevo proxy de destino, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.
  • URL_MAP: Es el nombre del mapa de URL.

Para adjuntar el mapa de certificados a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Terraform

Para adjuntar el mapa de certificados al proxy de destino, puedes usar un recurso google_compute_target_https_proxy.

Cuando configuras un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usa los certificados a los que hace referencia el mapa de certificados y omite los certificados TLS (SSL) adjuntos directamente.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.

  1. Borra el balanceador de cargas y sus recursos.

    Consulta Limpia una configuración de balanceo de cargas.

  2. Borra o desconecta el mapa de certificados del proxy.

    Para borrar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Si deseas conservar el proxy HTTPS de destino, desconecta el mapa de certificados del proxy. Antes de quitar el mapa del certificado, ten en cuenta lo siguiente:

    • Si hay certificados TLS (SSL) conectados directamente al proxy, el desprendimiento del mapa de certificados hace que el proxy reanude el uso de esos certificados TLS (SSL) conectados directamente.
    • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede separar del proxy. Primero, debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder desconectar el mapa de certificados.

    Para desconectar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  3. Borra la entrada de mapa de certificados del mapa de certificados:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

  4. Borra el mapa de certificados:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

  5. Borra el certificado subido:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado.

¿Qué sigue?