En esta página, se describe cómo crear y administrar una configuración de emisión de certificados.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Cómo funciona el Administrador de certificados.
Ten en cuenta que, para inhabilitar la última AC que habilitaste en el grupo de AC al que se hace referencia en la configuración de emisión de certificados o para borrar por completo el grupo de AC al que se hace referencia, primero debes borrar todas las configuraciones de emisión de certificados que hagan referencia a ese grupo de AC.
Para obtener información sobre cómo implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.
Para obtener más información sobre los comandos de gcloud
que se usan en esta página, consulta la referencia de la CLI de Certificate Manager.
Crea una configuración de emisión de certificados
Para crear una configuración de emisión de certificados, completa los pasos de esta sección.
Ten en cuenta que, aunque uses un grupo de AC regional para emitir un TLS, el certificado en sí es global y se puede usar en cualquier región.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Issuance Configs, haz clic en Create.
En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.
Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.
En Ubicación, selecciona Global o Regional.
Si seleccionaste Regional, selecciona la Región.
En el campo Lifetime, especifica la vida útil del certificado emitido en días. El valor debe ser de entre 21 y 30 días (inclusive).
En Porcentaje del período de rotación, especifica el porcentaje de la vida útil del certificado cuando comienza el proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.
En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.
En la lista Grupo de AC, selecciona el nombre del grupo de AC que deseas asignar a esta configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en
Agregar etiqueta y especifica unkey
y unvalue
para tu etiqueta.Haz clic en Crear.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
es un nombre único que identifica a este recurso de configuración de emisión de certificados.CA_POOL
es la ruta de acceso y el nombre completos del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME
(opcional) es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días. El valor predeterminado es de 30 días.ROTATION_WINDOW_PERCENTAGE
(opcional) es el porcentaje de la vida útil del certificado cuando comienza su proceso de renovación. El valor predeterminado es del 66%. Para encontrar el rango de valores válidos, consulta Porcentaje del período de ciclo de vida y de rotación.KEY_ALGORITHM
(opcional) es el algoritmo de encriptación para generar la clave privada. Los valores válidos sonecdsa-p256
orsa-2048
. El valor predeterminado esrsa-2048
.
API
Para crear la configuración de emisión de certificados, realiza una solicitud POST
al método certificateIssuanceConfigs.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG_NAME
es un nombre único que identifica este recurso de configuración de emisión de certificados.DESCRIPTION
(opcional) es una descripción significativa para este recurso de configuración de emisión de certificados.CA_POOL
es la ruta de acceso y el nombre completos del grupo de AC que deseas asignar a este recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME
(opcional) es la vida útil del certificado en días. Los valores válidos son de 21 a 30 días en formato de duración estándar. El valor predeterminado es de 30 días (30D
).ROTATION_WINDOW_PERCENTAGE
(opcional) es el porcentaje de la vida útil del certificado en el que comienza su proceso de renovación. El valor predeterminado es del 66%. Para encontrar el rango de valores válidos, consulta Porcentaje de la ventana de vida útil y rotación.KEY_ALGORITHM
es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256
orsa-2048
. El valor predeterminado esrsa-2048
.
Porcentaje del ciclo de vida del cliente y del período de rotación
Cuando creas una configuración de emisión de certificados, también defines la vida útil del certificado en el campo Vida útil y cuándo comienza el proceso de renovación del certificado antes de que venza en el campo Porcentaje del período de rotación.
Para asegurarte de que el certificado se renueve al menos siete días antes de su vencimiento y siete días después de su emisión, configura el porcentaje del período de rotación en relación con la vida útil del certificado. Para calcular el intervalo permitido para el porcentaje de la ventana de rotación, utiliza las siguientes fórmulas:
- Valor mínimo: Porcentaje de ventana de rotación ≥ (7/Vida útil) * 100
- Valor máximo: Porcentaje de la ventana de rotación ≤ ( (Vida útil - 7) / Vida útil) * 100
En las fórmulas anteriores, 7
es siete días.
Si el valor mínimo es un valor decimal, redondeo hacia arriba al número entero más cercano. Si el valor máximo es un valor decimal, redondeo hacia abajo al número entero más cercano.
Muestra las configuraciones de emisión de certificados
Para enumerar los parámetros de configuración de emisión de certificados, completa los pasos que se indican en este sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
Haz clic en la pestaña Issuance Configs.
En la pestaña, se enumeran todos los recursos de configuración de emisión de certificados administrados por Certificate Manager en el proyecto seleccionado.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Reemplaza lo siguiente:
FILTER
es una expresión que restringe el valor resultados a valores específicos. Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para ver más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.
PAGE_SIZE
es la cantidad de resultados que se mostrarán por página.LIMIT
es la cantidad máxima de resultados que se mostrarán.SORT_BY
es una lista delimitada por comas de camposname
por los cuales los resultados que se muestran están ordenados. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~
) antes del campo.
API
Enumera los recursos de configuración de emisión de certificados configurados mediante una solicitud LIST
al certificateIssuanceConfigs.list
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.FILTER
es una expresión que restringe los resultados que se muestran a valores específicos.PAGE_SIZE
es la cantidad de resultados que se muestran por página.SORT_BY
es una lista de nombres de campos delimitados por comas por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega el prefijo~
al campo.
Cómo ver el estado de una configuración de emisión de certificados
Para ver el estado de la configuración de emisión de certificados, completa los pasos que se indican en esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
Haz clic en la pestaña Issuance Configs.
Haz clic en el nombre de la configuración de emisión de certificados que quieres ver.
En la consola de Google Cloud, se muestran los detalles de la configuración de emisión de certificados.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
es el nombre de la configuración de emisión de certificados de destino.
API
Realiza una solicitud GET
al certificateIssuanceConfigs.get
para ver el estado de la configuración de emisión de certificados
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG__NAME
es el nombre de la configuración de emisión de certificados de destino.
Actualizar una configuración de emisión de certificados
Puedes agregar o cambiar las etiquetas y descripciones de la emisión de certificados configuración con la API o Google Cloud CLI.
Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Obtén más información sobre los roles y permisos.
gcloud
Usa el comando
gcloud certificate-manager issuance-configs update
para actualizar la configuración de emisión de certificados:
gcloud certificate-manager issuance-configs update \ ISSUANCE_CONFIG_NAME --update-labels="LABELS" \ --description="DESCRIPTION"
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
es el nombre de la configuración de emisión de certificados objetivo que deseas actualizar.- Opcional:
LABELS
es una o más etiquetas que deseas especificar para la configuración de emisión de certificados. Las etiquetas deben especificarse en una lista delimitada por comas como paresKEY=VALUE
. - Opcional:
DESCRIPTION
describe la configuración de emisión de certificados.
API
Usa el método certificateIssuanceConfigs.patch
para actualizar una configuración de emisión de certificados:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description { labels: { "LABEL_KEY": "LABEL_VALUE" }, description: "DESCRIPTION" }
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG_NAME
es el nombre de la configuración de emisión de certificados objetivo que deseas actualizar.- Opcional: Puedes especificar una o más etiquetas para cada emisión de certificados
configuración.
LABEL_KEY
es la clave de etiqueta.LABEL_VALUE_
es el valor de la etiqueta.
- Opcional:
DESCRIPTION
describe la configuración de emisión de certificados.
Borrar una configuración de emisión de certificados
Para borrar la configuración de emisión de certificados, completa los pasos que se indican en esta sección. Antes de borrar una configuración de emisión de certificados, primero debes borrar el certificado administrado por Google que hace referencia a este.
Para completar esta tarea, debes tener el rol Propietario del administrador de certificados en la proyecto de Google Cloud de destino.
Para obtener más información, consulta Roles y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la pestaña Configuraciones de emisión, selecciona la casilla de verificación de la configuración de emisión que deseas borrar.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME
es el nombre de la configuración de emisión de certificados de destino.
API
Borra la configuración de emisión de certificados mediante una solicitud DELETE
al certificateIssuanceConfigs.delete
de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG_NAME
es el nombre de la configuración de emisión de certificados de destino.
¿Qué sigue?
- Administrar certificados
- Administra mapas de certificados
- Administrar entradas de mapas de certificados
- Administra las autorizaciones de DNS