Administrar mapas de certificados

En esta página, se describe cómo crear y administrar mapas de certificados.

Para obtener más información sobre los mapas de certificados, consulta Cómo funciona el Administrador de certificados.

Para obtener información sobre cómo implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta el Referencia de la CLI del Administrador de certificados.

Crea un mapa de certificados

Para crear un mapa de certificados, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es un nombre único que describe este mapa de certificados.

Terraform

Para crear un mapa de certificados, puedes usar un google_certificate_manager_certificate_map recurso.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el mapa de certificados, realiza una solicitud POST al método certificateMaps.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es un nombre único que describe este mapa de certificados.

Adjunta un mapa de certificados a un proxy

Después de crear un mapa de certificados y propagarlo con entradas de mapa de certificados configuradas correctamente, debes adjuntarlo al proxy deseado. El Administrador de certificados admite proxies HTTPS y SSL de destino. Para obtener más información sobre el diferencias entre estos tipos de proxy, consulta Usa proxies de destino.

Si hay certificados TLS (SSL) existentes adjuntos directamente al proxy, este le da preferencia a los certificados a los que hace referencia el mapa de certificados sobre los certificados TLS (SSL) adjuntos directamente.

Para completar esta tarea, debes tener el rol de Editor en el proyecto de Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa target-https-proxies.
    • Para los proxies SSL de destino, usa target-ssl-proxies.
  • PROXY_NAME es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados. con una o más entradas del mapa de certificados que hagan referencia a los certificados.

API

Para adjuntar el mapa de certificados, realiza una solicitud POST al método targetHttpsProxies o targetSslProxies de la siguiente manera:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa targetHttpsProxies.
    • Para los proxies SSL de destino, usa targetSslProxies.
  • PROXY_NAME es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados. que contenga entradas de un mapa de certificados que hagan referencia a los certificados de destino.

Cómo desconectar un mapa de certificados de un proxy

Para quitar un mapa de certificados de un proxy, completa los pasos que se indican en esta sección.

Ten en cuenta lo siguiente:

  • Si había certificados TLS (SSL) conectados directamente al proxy, el desprendimiento del mapa de certificados hace que el proxy reanude el uso de esos certificados TLS (SSL) conectados directamente.
  • Si no había certificados TLS (SSL) adjuntos directamente al proxy, la asignación de certificados no se puede desvincular del proxy. Primero, debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder desconectar el mapa de certificados.

Para completar esta tarea, debes tener el rol de Administrador de balanceador de cargas de Compute en el proyecto de Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Reemplaza lo siguiente:

  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa target-https-proxies.
    • Para los proxies SSL de destino, usa target-ssl-proxies.
  • PROXY_NAME es el nombre del proxy de destino.

API

Para separar el mapa de certificados, realiza una solicitud POST al método targetHttpsProxies o targetSslProxies con un valor certificateMap vacío de la siguiente manera:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa targetHttpsProxies.
    • Para los proxies SSL de destino, usa targetSslProxies.
  • PROXY_NAME es el nombre del proxy de destino.

Actualizar un mapa de certificados

Para actualizar la descripción de un mapa de certificados, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Roles y permisos.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.
  • DESCRIPTION es la descripción nueva de este mapa de certificados.
  • LABELS es una lista de etiquetas separadas por comas que se aplican a este mapa de certificados.

API

Para actualizar el mapa de certificados, realiza una solicitud PATCH al método certificateMaps.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.
  • DESCRIPTION es la descripción nueva de este mapa de certificados.
  • LABEL_KEY es una clave de etiqueta aplicada a este mapa de certificados.
  • LABEL_VALUE es un valor de etiqueta aplicado a este mapa de certificados.

Cómo enumerar mapas de certificados

Para obtener una lista de los mapas de certificados configurados actualmente, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Roles y permisos.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados los siguientes criterios:

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE es la cantidad de resultados que se mostrarán por página.

  • LIMIT es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY es una lista de campos name separados por comas por los que se ordenan los resultados que se muestran. El orden predeterminado es ascendente; para orden de clasificación descendente, prefija el campo deseado con ~.

API

Enumera los mapas de certificados configurados mediante una solicitud LIST al certificateMaps.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos.
  • PAGE_SIZE es la cantidad de resultados que se muestran por página.
  • SORT_BY es una lista delimitada por comas de nombres de campo por los que los resultados que se muestran están ordenados. El orden predeterminado es ascendente; para orden de clasificación descendente, prefija el campo deseado con ~.

Visualiza el estado de un mapa de certificados

Para ver el estado de un mapa de certificados, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

API

Para ver el estado del mapa de certificados, realiza una solicitud GET al método certificateMaps.get de la siguiente manera:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

Borra un mapa de certificados

Para borrar un mapa de certificados, completa los pasos que se indican en esta sección. Antes de borrar un mapa de certificados, primero debes desconectarlo del proxy de destino.

Si hay entradas en el mapa de certificados asignadas al mapa que deseas borrar, debes borrarlas manualmente antes de borrar el mapa. De lo contrario, no se podrá borrar el mapa.

Para completar esta tarea, debes tener el rol Propietario del administrador de certificados en la proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

API

Para borrar el mapa de certificados, realiza una solicitud DELETE al método certificateMaps.delete de la siguiente manera:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

¿Qué sigue?