En esta página, se describe cómo crear y administrar una configuración de emisión de certificados.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Cómo funciona el Administrador de certificados.
Ten en cuenta que, para inhabilitar la última AC que habilitaste en el grupo de AC al que se hace referencia en la configuración de emisión de certificados o borrar todo el grupo de AC al que se hace referencia, primero debes borrar cada configuración de emisión de certificados que haga referencia a ese grupo de AC.
Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.
Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.
Crea una configuración de emisión de certificados
Para crear una configuración de emisión de certificados, completa los pasos de esta sección.
Ten en cuenta que, aunque uses un grupo de AC regional para emitir un certificado TLS administrado por Google, el certificado en sí es global y se puede usar en cualquier región.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAMEes un nombre único que identifica este recurso de configuración de emisión de certificados.CA_POOLes la ruta de acceso completa del recurso y el nombre del grupo de AC que quieres asignar a este recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME(opcional): Es el ciclo de vida del certificado en días. Los valores válidos van de 21 a 30 días. El valor predeterminado es de 30 días.ROTATION_WINDOW_PERCENTAGE(opcional) es el porcentaje del ciclo de vida del certificado en el que se activa una renovación. El valor predeterminado es del 66%. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento.- El certificado debe renovarse 7 días completos o antes desde su vencimiento.
KEY_ALGORITHM(opcional) es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256orsa-2048. El valor predeterminado esrsa-2048.
API
Para crear la configuración de emisión de certificados, realiza una solicitud POST al método certificateIssuanceConfigs.create de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Reemplaza lo siguiente:
PROJECT_IDes el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG_NAMEes un nombre único que identifica este recurso de configuración de emisión de certificados.DESCRIPTION(opcional) es una descripción significativa de este recurso de configuración de emisión de certificados.CA_POOLes la ruta de acceso completa del recurso y el nombre del grupo de AC que quieres asignar a este recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME(opcional): Es el ciclo de vida del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración estándar. El valor predeterminado es de 30 días (30D).
ROTATION_WINDOW_PERCENTAGE(opcional) es el porcentaje del ciclo de vida del certificado en el que se activa una renovación. El valor predeterminado es del 66%. Debes configurar el porcentaje del período de rotación en relación con la vida útil del certificado, de modo que la renovación del certificado se produzca al menos 7 días después de la emisión del certificado y al menos 7 días antes de su vencimiento.KEY_ALGORITHMes el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256orsa-2048. El valor predeterminado esrsa-2048.
Actualizar un recurso de configuración de emisión de certificados
Para actualizar un recurso de configuración de emisión de certificados, debes borrarlo y volver a crearlo.
Enumerar recursos de configuración de emisión de certificados
Para enumerar los recursos de configuración de emisión de certificados, completa los pasos de esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Configuración de emisión. En esta pestaña, se enumeran todos los recursos de configuración de emisión de certificados administrados por el Administrador de certificados en el proyecto seleccionado.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Reemplaza lo siguiente:
FILTERes una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:- Etiquetas y hora de creación:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para ver más ejemplos de filtros que puedes usar con el Administrador de certificados, consulta Ordena y filtra resultados de listas en la documentación de Cloud Key Management Service.
- Etiquetas y hora de creación:
PAGE_SIZEes la cantidad de resultados que se muestran por página.LIMITes la cantidad máxima de resultados que se mostrarán.SORT_BYes una lista delimitada por comas de camposnamepor la que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo del campo con una virgulilla (~).
API
Para enumerar los recursos de configuración de emisión de certificados configurados, realiza una solicitud LIST al método certificateIssuanceConfigs.list de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
PROJECT_IDes el ID del proyecto de Google Cloud de destino.FILTERes una expresión que restringe los resultados que se muestran a valores específicos.PAGE_SIZEes la cantidad de resultados que se muestran por página.SORT_BYes una lista delimitada por comas de nombres de campo según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo~al campo.
Consulta el estado de una configuración de emisión de certificados
Para ver el estado de la configuración de una emisión de certificados, completa los pasos de esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
Console
En la consola de Google Cloud, ve a la página Administrador de certificados.
En la página que aparece, selecciona la pestaña Configuración de emisión. En esta pestaña, se enumeran todos los recursos de configuración de emisión de certificados administrados por el Administrador de certificados en el proyecto seleccionado.
Haz clic en la configuración de emisión de certificados que quieres ver.
En la consola de Google Cloud, se muestran los detalles de configuración de la emisión de certificados.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAMEes el nombre de la configuración de emisión de certificados de destino.
API
Observa el estado de la configuración de emisión de certificados mediante una solicitud GET al método certificateIssuanceConfigs.get de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_IDes el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG__NAMEes el nombre de la configuración de emisión de certificados de destino.
Borrar una configuración de emisión de certificados
Para borrar una configuración de emisión de certificados, completa los pasos de esta sección. Antes de borrar una configuración de emisión de certificados, primero debes borrar el certificado administrado por Google que hace referencia a ella.
Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en el proyecto de destino de Google Cloud.
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAMEes el nombre de la configuración de emisión de certificados de destino.
API
Borra la configuración de emisión de certificados mediante una solicitud DELETE al método certificateIssuanceConfigs.delete de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_IDes el ID del proyecto de Google Cloud de destino.ISSUANCE_CONFIG_NAMEes el nombre de la configuración de emisión de certificados de destino.
¿Qué sigue?
- Administra los certificados
- Cómo administrar mapas de certificados
- Cómo administrar las entradas del mapa de certificados
- Administra las autorizaciones de DNS