Administrar la configuración de emisión de certificados

En esta página, se describe cómo crear y administrar una configuración de emisión de certificados.

Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Cómo funciona el Administrador de certificados.

Ten en cuenta que, para inhabilitar la última AC que habilitaste en el grupo de AC al que se hace referencia en la configuración de emisión de certificados o borrar todo el grupo de AC al que se hace referencia, primero debes borrar cada configuración de emisión de certificados que haga referencia a ese grupo de AC.

Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crea una configuración de emisión de certificados

Para crear una configuración de emisión de certificados, completa los pasos de esta sección.

Ten en cuenta que, aunque uses un grupo de AC regional para emitir un certificado TLS administrado por Google, el certificado en sí es global y se puede usar en cualquier región.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Reemplaza lo siguiente:

  • ISSUANCE_CONFIG_NAME es un nombre único que identifica a este recurso de configuración de emisión de certificados.
  • CA_POOL es la ruta de acceso completa del recurso y el nombre del grupo de AC que quieres asignar a este recurso de configuración de emisión de certificados.
  • CERTIFICATE_LIFETIME (opcional) es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días. El valor predeterminado es de 30 días.
  • ROTATION_WINDOW_PERCENTAGE (opcional) es el porcentaje de la vida útil del certificado en el que se activa una renovación. El valor predeterminado es del 66%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de su emisión y al menos 7 días antes de su vencimiento.
    • El certificado se debe renovar 7 días completos o antes a partir de su vencimiento.
  • KEY_ALGORITHM (opcional) es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048.

API

Para crear la configuración de emisión de certificados, realiza una solicitud POST al método certificateIssuanceConfigs.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME es un nombre único que identifica a este recurso de configuración de emisión de certificados.
  • DESCRIPTION (opcional) es una descripción significativa para este recurso de configuración de emisión de certificados.
  • CA_POOL es la ruta de acceso completa del recurso y el nombre del grupo de AC que quieres asignar a este recurso de configuración de emisión de certificados.
    • CERTIFICATE_LIFETIME (opcional) es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D).
  • ROTATION_WINDOW_PERCENTAGE (opcional) es el porcentaje de la vida útil del certificado en el que se activa una renovación. El valor predeterminado es del 66%. Debes establecer el porcentaje del período de rotación en relación con la vida útil del certificado para que la renovación del certificado se realice al menos 7 días después de su emisión y al menos 7 días antes de su vencimiento.
  • KEY_ALGORITHM es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048.

Actualizar un recurso de configuración de emisión de certificados

Para actualizar un recurso de configuración de emisión de certificados, debes borrarlo y volver a crearlo.

Mostrar lista de recursos de configuración de emisión de certificados

Para enumerar los recursos de configuración de emisión de certificados, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Consola

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Issuance Configs. En esta pestaña, se enumeran todos los recursos de configuración de emisión de certificados que administra el Administrador de certificados en el proyecto seleccionado.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Ordena y filtra resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE es la cantidad de resultados que se muestran por página.

  • LIMIT es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY es una lista delimitada por comas de campos name según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, prefija el campo con una virgulilla (~).

API

Para enumerar los recursos de configuración de emisión de certificados configurados, realiza una solicitud LIST al método certificateIssuanceConfigs.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos.
  • PAGE_SIZE es la cantidad de resultados que se muestran por página.
  • SORT_BY es una lista delimitada por comas de nombres de campos según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, prefija el campo con ~.

Visualiza el estado de una configuración de emisión de certificados

Para ver el estado de una configuración de emisión de certificados, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

Consola

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Issuance Configs. En esta pestaña, se enumeran todos los recursos de configuración de emisión de certificados que administra el Administrador de certificados en el proyecto seleccionado.

  3. Haz clic en la configuración de emisión de certificados que quieres ver.

En la consola de Google Cloud, se muestran los detalles de la configuración de emisión de certificados.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • ISSUANCE_CONFIG_NAME es el nombre de la configuración de emisión de certificados de destino.

API

Para ver el estado de la configuración de emisión de certificados, realiza una solicitud GET al método certificateIssuanceConfigs.get de la siguiente manera:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • ISSUANCE_CONFIG__NAME es el nombre de la configuración de emisión de certificados de destino.

Borrar una configuración de emisión de certificados

Para borrar una configuración de emisión de certificados, completa los pasos de esta sección. Antes de borrar una configuración de emisión de certificados, primero debes borrar el certificado administrado por Google que hace referencia a este.

Para completar esta tarea, debes tener la función de propietario del administrador de certificados en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Consola

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Issuance Configs, selecciona la casilla de verificación de la configuración de emisión que quieres borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • ISSUANCE_CONFIG_NAME es el nombre de la configuración de emisión de certificados de destino.

API

Para borrar la configuración de emisión de certificados, realiza una solicitud DELETE al método certificateIssuanceConfigs.delete de la siguiente manera:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME es el nombre de la configuración de emisión de certificados de destino.

¿Qué sigue?