Administrar entradas de mapas de certificados

Una entrada de mapa de certificados asocia un certificado con un nombre de host de destino y un mapa de certificados de destino. En esta página, se describe cómo crear y administrar entradas de mapas de certificados.

Para obtener más información, consulta Entradas del mapa de certificados.

Crea una entrada de mapa de certificados

Puedes crear una entrada de mapa de certificados y asociarle un máximo de cuatro certificados. Te recomendamos que uses un algoritmo de claves diferente para cada certificado cuando especifiques varios certificados para un nombre de host. Por ejemplo, puedes usar ECDSA para un certificado y RSA para otro. Asociar varios certificados con una sola entrada de mapa de certificados también ayuda cuando se migran certificados autoadministrados a certificados administrados por Google.

Para asociar varios certificados con una entrada de mapa de certificados, proporciona una lista de nombres de certificados delimitados por comas. Para cada subdominio, debes crear una entrada de mapa de certificados distinta.

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada de mapa de certificados.
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

API

Para crear la entrada del mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: Es el nombre del primer certificado que deseas asociar con esta entrada de mapa de certificados.
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con esta entrada de mapa de certificados.

Terraform

Para crear una entrada de mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Para obtener información sobre cómo el balanceador de cargas selecciona certificados durante un protocolo de enlace, consulta Lógica de selección de certificados.

Crea una entrada de mapa de certificados principal

Puedes especificar un certificado principal para que el balanceador de cargas entregue si el cliente no proporciona un nombre de host o si el balanceador de cargas no puede hacer coincidir el nombre de host con una entrada de mapa de certificados configurada.

gcloud

Para crear una entrada de mapa de certificados principal, usa el comando gcloud certificate-manager maps entries create con la marca set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada de mapa de certificados.

API

Para crear la entrada del mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: Es el nombre del primer certificado que deseas asociar con la entrada principal del mapa de certificados.
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con la entrada principal del mapa de certificados.

Para obtener información sobre cómo el balanceador de cargas selecciona certificados durante un protocolo de enlace, consulta Lógica de selección de certificados.

Actualiza una entrada de mapa de certificados

Cuando actualizas una entrada de mapa de certificados, puedes hacer lo siguiente:

  • Asignar o anular la asignación de certificados
  • Modifica la descripción
  • Modifica las etiquetas

gcloud

Para actualizar una entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.
  • DESCRIPTION: Una descripción significativa para esta entrada del mapa de certificados.
  • LABELS: Es una lista de etiquetas aplicadas a esta entrada del mapa de certificados.

API

Para actualizar la entrada del mapa de certificados, realiza una solicitud PATCH al método certificateMaps.certificateMapEntries.patch de la siguiente manera:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_NAME: el nombre del certificado
  • DESCRIPTION: Una descripción significativa para esta entrada del mapa de certificados.
  • LABEL_KEY: Es una clave de etiqueta aplicada a esta entrada del mapa de certificados.
  • LABEL_VALUE: Es un valor de etiqueta aplicado a esta entrada del mapa de certificados.

Cómo enumerar entradas de mapas de certificados

Puedes enumerar, filtrar y ordenar todas las entradas de mapa de certificados configuradas del proyecto.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (configurado como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

API

Para enumerar las entradas de mapa de certificados configuradas en un mapa de certificados determinado, realiza una solicitud LIST al método certificateMaps.certificateMapEntries.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados de destino.

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (configurado como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Cómo consultar el estado de una entrada de mapa de certificados

Puedes ver el estado de una entrada del mapa de certificados.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

API

Para ver el estado de la entrada del mapa de certificados, realiza una solicitud GET al método certificateMaps.certificateMapEntries.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.

Cómo borrar una entrada de mapa de certificados

Si borras una entrada de mapa de certificados, se desasociarán los certificados asociados con la entrada de mapa de certificados del proxy de destino. Si borras una entrada de mapa de certificados, no se borrarán los certificados asociados de Google Cloud. Debes borrar esos certificados de forma manual.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

API

Para borrar una entrada de mapa de certificados, realiza una solicitud DELETE al método certificateMaps.certificateMapEntries.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.

¿Qué sigue?