En esta página, se describe cómo crear y administrar mapas de certificados.
Para obtener más información sobre los mapas de certificados, consulta Cómo funciona el Administrador de certificados.
Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.
Para obtener más información sobre los comandos de gcloud
que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.
Crea un mapa de certificados
Para crear un mapa de certificados, completa los pasos que se indican en esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
CERTIFICATE_MAP_NAME
es un nombre único que describe este mapa de certificados.
Terraform
Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map
.
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.
API
Para crear el mapa de certificados, realiza una solicitud POST
al método certificateMaps.create
de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.CERTIFICATE_MAP_NAME
es un nombre único que describe este mapa de certificados.
Conecta un mapa de certificados a un proxy
Después de crear un mapa de certificados y propagarlo con las entradas del mapa de certificados configuradas correctamente, debes adjuntarlo al proxy deseado. El Administrador de certificados admite proxies HTTPS de destino y proxies SSL de destino. Para obtener más información sobre las diferencias entre estos tipos de proxy, consulta Usa proxies de destino.
Si hay certificados TLS (SSL) existentes adjuntos directamente al proxy, este da prioridad a los certificados a los que hace referencia el mapa de certificados en lugar de los certificados TLS (SSL) conectados de forma directa.
Para completar esta tarea, debes tener el rol de Editor en el proyecto de Google Cloud de destino.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Reemplaza lo siguiente:
PROXY_TYPE
es el tipo de proxy de destino. Los tipos admitidos son los siguientes:- Para los proxies HTTP de destino, usa
target-https-proxies
. - Para los proxies SSL de destino, usa
target-ssl-proxies
.
- Para los proxies HTTP de destino, usa
PROXY_NAME
es el nombre del proxy de destino.CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados que contiene una o más entradas de mapa de certificados que hacen referencia a los certificados deseados.
API
Adjunta el mapa de certificados mediante una solicitud POST
al método targetHttpsProxies
o targetSslProxies
de la siguiente manera:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME", }
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.PROXY_TYPE
es el tipo de proxy de destino. Los tipos admitidos son los siguientes:- Para los proxies HTTP de destino, usa
targetHttpsProxies
. - Para los proxies SSL de destino, usa
targetSslProxies
.
- Para los proxies HTTP de destino, usa
PROXY_NAME
es el nombre del proxy de destino.CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados que contiene entradas de este tipo que hacen referencia a los certificados de destino.
Desconecta un mapa de certificados de un proxy
Para desvincular un mapa de certificados de un proxy, completa los pasos de esta sección.
Ten en cuenta lo siguiente:
- Si había certificados TLS (SSL) adjuntos directamente al proxy, la desvinculación del mapa de certificados hace que el proxy se reanude con esos certificados TLS (SSL) conectados de forma directa.
- Si no había certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede desvincular del proxy. Debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder desvincular el mapa de certificados.
Para completar esta tarea, debes tener el rol de administrador del balanceador de cargas de Compute en el proyecto de Google Cloud de destino.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --clear-certificate-map
Reemplaza lo siguiente:
PROXY_TYPE
es el tipo de proxy de destino. Los tipos admitidos son los siguientes:- Para los proxies HTTP de destino, usa
target-https-proxies
. - Para los proxies SSL de destino, usa
target-ssl-proxies
.
- Para los proxies HTTP de destino, usa
PROXY_NAME
es el nombre del proxy de destino.
API
Para desvincular el mapa de certificados, realiza una solicitud POST
al método targetHttpsProxies
o targetSslProxies
con un valor certificateMap
vacío, como se muestra a continuación:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "", }
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.PROXY_TYPE
es el tipo de proxy de destino. Los tipos admitidos son los siguientes:- Para los proxies HTTP de destino, usa
targetHttpsProxies
. - Para los proxies SSL de destino, usa
targetSslProxies
.
- Para los proxies HTTP de destino, usa
PROXY_NAME
es el nombre del proxy de destino.
Cómo actualizar un mapa de certificados
Para actualizar la descripción de un mapa de certificados, completa los pasos de esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \ --description="DESCRIPTION" --update-labels="LABELS"
Reemplaza lo siguiente:
CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.DESCRIPTION
es la nueva descripción de este mapa de certificados.LABELS
es una lista de etiquetas separadas por comas que se aplican a este mapa de certificados.
API
Para actualizar el mapa de certificados, realiza una solicitud PATCH
al método certificateMaps.patch
de la siguiente manera:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description" { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", }
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.DESCRIPTION
es la nueva descripción de este mapa de certificados.LABEL_KEY
es una clave de etiqueta que se aplica a este mapa de certificados.LABEL_VALUE
es un valor de etiqueta que se aplica a este mapa de certificados.
Mostrar lista de mapas de certificados
Para enumerar los mapas de certificados configurados actualmente, completa los pasos de esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager maps list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Reemplaza lo siguiente:
FILTER
es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:- Etiquetas y hora de creación:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para ver más ejemplos de filtros que puedes usar con el Administrador de certificados, consulta Ordena y filtra resultados de listas en la documentación de Cloud Key Management Service.
- Etiquetas y hora de creación:
PAGE_SIZE
es la cantidad de resultados que se muestran por página.LIMIT
es la cantidad máxima de resultados que se mostrarán.SORT_BY
es una lista delimitada por comas de camposname
por la que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo~
al campo deseado.
API
Para enumerar los mapas de certificados configurados, realiza una solicitud LIST
al método certificateMaps.list
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.FILTER
es una expresión que restringe los resultados que se muestran a valores específicos.PAGE_SIZE
es la cantidad de resultados que se muestran por página.SORT_BY
es una lista delimitada por comas de nombres de campo según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo~
al campo deseado.
Visualiza el estado de un mapa de certificados
Para ver el estado de un mapa de certificados, completa los pasos de esta sección.
Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:
- Visualizador del administrador de certificados
- Editor del Administrador de certificados
- Propietario del Administrador de certificados
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.
API
Observa el estado del mapa de certificados mediante una solicitud GET
al método certificateMaps.get
de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.
Cómo borrar un mapa de certificados
Para borrar un mapa de certificados, completa los pasos que se indican en esta sección. Antes de borrar un mapa de certificados, primero debes desconectarlo de su proxy de destino.
Si hay entradas de mapas de certificados asignadas al mapa que deseas borrar, debes borrarlas manualmente antes de poder borrar el mapa. De lo contrario, fallará la eliminación.
Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en el proyecto de destino de Google Cloud.
Para obtener más información, consulta Funciones y permisos.
gcloud
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.
API
Borra el mapa de certificados mediante una solicitud DELETE
al método certificateMaps.delete
de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Reemplaza lo siguiente:
PROJECT_ID
es el ID del proyecto de Google Cloud de destino.CERTIFICATE_MAP_NAME
es el nombre del mapa de certificados de destino.
¿Qué sigue?
- Administra los certificados
- Cómo administrar las entradas del mapa de certificados
- Administra las autorizaciones de DNS
- Administra la configuración de la emisión de certificados