Administra los recursos de configuración de emisión de certificados

En esta página, se describe cómo crear y administrar un recurso de configuración de emisión de certificados.

Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Cómo funciona el Administrador de certificados.

Crea un recurso de configuración de emisión de certificados

Antes de crear el recurso de configuración de emisión, configura la integración del servicio de AC con el Administrador de certificados.

Para crear un recurso de configuración de emisión de certificados, especifica la vigencia del certificado, el porcentaje de la ventana de rotación, el algoritmo de claves y el grupo de AC que se usará.

Aunque uses un grupo de AC regional para emitir un certificado TLS administrado por Google, el certificado se puede usar de forma global.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Issuance Configs, haz clic en Create.

  3. En el campo Nombre, ingresa un nombre único para el recurso de configuración de emisión de certificados.

  4. Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.

  5. En Ubicación, selecciona Global o Regional. Si seleccionaste Regional, selecciona la misma Región que tu certificado y grupo de AC.

  6. En el campo Duración, especifica la duración del certificado emitido en días. El valor debe estar entre 21 y 30 días (inclusive).

  7. En Porcentaje de la ventana de rotación, especifica el porcentaje de la vida útil del certificado cuando comienza su proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje de la ventana de rotación y del ciclo de vida.

  8. En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.

  9. En la lista Grupo de AC, selecciona el nombre del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.

  10. En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  11. Haz clic en Crear.

gcloud

Para crear un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Reemplaza lo siguiente:

  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • CA_POOL: Es la ruta de acceso y el nombre completos del grupo de AC que deseas asignar al recurso de configuración de emisión de certificados.
  • CERTIFICATE_LIFETIME: Es la duración del certificado en días. Los valores válidos van de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es 30 días (30D). Esta marca es opcional.
  • ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil restante del certificado antes de la renovación. El valor predeterminado es del 66%. Para encontrar el rango de valores válidos, consulta [Porcentaje de ventana de rotación y del ciclo de vida](#lifetime-rotation-percentage). Esta marca es opcional.
  • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta marca es opcional.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino.

API

Para crear el recurso de configuración de emisión de certificados, realiza una solicitud POST al método certificateIssuanceConfigs.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • DESCRIPTION: Es una descripción significativa para el recurso de configuración de emisión de certificados.
  • CA_POOL: Es la ruta de acceso y el nombre completos del grupo de AC que deseas asignar al recurso de configuración de emisión de certificados.
  • CERTIFICATE_LIFETIME: Es la duración del certificado en días. Los valores válidos van de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es de 30 días (30D). Esta marca es opcional.
  • ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil restante del certificado antes de la renovación. El valor predeterminado es del 66%. Para encontrar el rango de valores válidos, consulta [Porcentaje de ventana de rotación y del ciclo de vida](#lifetime-rotation-percentage). Esta marca es opcional.
  • KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos son ecdsa-p256 o rsa-2048. El valor predeterminado es rsa-2048. Esta marca es opcional.

Porcentaje de la vida útil y de la ventana de rotación

Cuando creas un recurso de configuración de emisión de certificados, también defines la vida útil del certificado en el campo Lifetime y cuándo comienza el proceso de renovación del certificado antes de que venza en el campo Rotation window percentage.

Para asegurarte de que el certificado se renueve al menos siete días antes de su vencimiento y siete días después de su emisión, configura el porcentaje del período de rotación en relación con la vida útil del certificado. Para calcular el rango permitido para el porcentaje del período de rotación, usa las siguientes fórmulas:

  • Valor mínimo: Porcentaje de ventana de rotación ≥ (7 / Vida útil) * 100
  • Valor máximo: Porcentaje de la ventana de rotación ≤ ( (Vida útil - 7) / Vida útil) * 100

En las fórmulas anteriores, 7 es siete días.

Si el valor mínimo es un valor decimal, redondea hacia arriba al número entero más cercano. Si el valor máximo es un valor decimal, redondea hacia abajo al número entero más cercano.

Muestra una lista de las configuraciones de emisión de certificados

Puedes ver todos los recursos de configuración de emisión de certificados de tu proyecto y sus detalles.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. Haz clic en la pestaña Issuance Configs. En la pestaña, se enumeran todos los recursos de configuración de emisión de certificados que administra el Administrador de certificados en el proyecto seleccionado.

gcloud

Para enumerar los recursos de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Reemplaza lo siguiente:

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

  • LOCATION: La Google Cloud ubicaciónLOCATION de destino.

API

Para enumerar los recursos de configuración de emisión de certificados configurados, realiza una solicitud LIST al método certificateIssuanceConfigs.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Cómo ver el estado de un recurso de configuración de emisión de certificados

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. Haz clic en la pestaña Issuance Configs.

  3. Haz clic en el nombre del recurso de configuración de emisión de certificados que deseas ver. La consola de Google Cloud muestra los detalles del recurso de configuración de emisión de certificados.

gcloud

Para ver el estado de un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Reemplaza ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

API

Para ver el estado del recurso de configuración de emisión de certificados, realiza una solicitud GET al método certificateIssuanceConfigs.get de la siguiente manera:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

Borra un recurso de configuración de emisión de certificados

Antes de borrar un recurso de configuración de emisión de certificados, primero debes borrar el certificado administrado por Google que hace referencia a él.

Para inhabilitar la última AC que habilitaste dentro de un grupo de AC al que se hace referencia en el recurso de configuración de emisión de certificados, o para borrar el grupo de AC por completo, primero debes borrar todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de AC.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Configuraciones de emisión, selecciona la casilla de verificación de la configuración de emisión que deseas borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud

Para borrar un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Reemplaza lo siguiente:

  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino.

API

Para borrar el recurso de configuración de emisión de certificados, realiza una solicitud DELETE al método certificateIssuanceConfigs.delete de la siguiente manera:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de AC de destino.

¿Qué sigue?