Administrar mapas de certificados

Un mapa de certificados hace referencia a una o más entradas para asignar certificados específicos a nombres de host determinados. En esta página, se describe cómo crear y administrar mapas de certificados.

Para obtener más información, consulta Mapas de certificados.

Crea un mapa de certificados

Creas un mapa de certificados para hacer referencia a la entrada del mapa de certificados asociada con tu certificado.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de editor del Administrador de certificados (roles/certificatemanager.editor)
  • Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Para crear un mapa de certificados, realiza una solicitud POST al método certificateMaps.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Adjunta un mapa de certificados a un proxy

Después de crear y configurar un mapa de certificados con entradas de mapa de certificados, adjúntalo al proxy de destino. El Administrador de certificados admite proxies HTTPS y SSL de destino con alcance global. Para obtener más información sobre las diferencias entre estos tipos de proxy, consulta Cómo usar proxies de destino.

Si adjuntas un certificado TLS (SSL) al proxy de destino y también adjuntas certificados a través de un mapa de certificados, el proxy usa los certificados a los que se hace referencia en el mapa de certificados y omite el certificado adjunto directamente.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de editor del Administrador de certificados (roles/certificatemanager.editor)

Para obtener más información, consulta Roles y permisos.

Para adjuntar el mapa de certificados al proxy HTTPS de destino, usa el comando gcloud compute target-https-proxies update:

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Para adjuntar el mapa de certificados al proxy SSL de destino, usa el comando gcloud compute target-ssl-proxies update:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que contiene entradas de mapa de certificados que hacen referencia a los certificados de destino.

Para adjuntar el mapa de certificados al proxy HTTPS de destino, realiza una solicitud POST al método targetHttpsProxies:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Para conectar el mapa de certificados al proxy SSL de destino, realiza una solicitud POST al método targetSslProxies:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • PROXY_NAME: Es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que contiene entradas de mapa de certificados que hacen referencia a los certificados de destino.

Cómo desconectar un mapa de certificados de un proxy

Antes de desconectar un mapa de certificados de un proxy, ten en cuenta lo siguiente:

  • Si hay certificados TLS (SSL) conectados directamente al proxy, si se desconecta el mapa de certificados, el proxy reanudará su uso.

  • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, no se puede quitar el mapa de certificados. Adjunta al menos un certificado TLS directamente al proxy antes de quitar el mapa de certificados.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin)

Para obtener más información, consulta Roles y permisos.

Para separar cualquier mapa de certificado adjunto del proxy HTTPS de destino, usa el comando gcloud compute target-https-proxies update:

gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

Para desvincular cualquier mapa de certificado adjunto del proxy SSL de destino, usa el siguiente comando gcloud compute target-ssl-proxies update:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --clear-certificate-map

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.

Para separar cualquier mapa de certificado adjunto del proxy HTTPS de destino, realiza una solicitud POST al método targetHttpsProxies:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Para separar cualquier mapa de certificado adjunto del proxy SSL de destino, realiza una solicitud POST al método targetSslProxies:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • PROXY_NAME: Es el nombre del proxy de destino.

Actualiza un mapa de certificados

Puedes actualizar la descripción y las etiquetas de un mapa de certificados.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de editor del Administrador de certificados (roles/certificatemanager.editor)
  • Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para actualizar un mapa de certificados, usa el comando gcloud certificate-manager maps update:

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.
  • DESCRIPTION: Es la descripción nueva para este mapa de certificados.
  • LABELS: Es una lista de etiquetas separadas por comas que se aplican a este mapa de certificados.

Para actualizar el mapa de certificados, realiza una solicitud PATCH al método certificateMaps.patch:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.
  • DESCRIPTION: Es la descripción nueva para este mapa de certificados.
  • LABEL_KEY: Es una clave de etiqueta aplicada a este mapa de certificados.
  • LABEL_VALUE: Es una etiqueta aplicada a este mapa de certificados.

Lista de mapas de certificados

Puedes enumerar, filtrar y ordenar todos los mapas de certificados configurados del proyecto.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de visualizador del administrador de certificados (roles/certificatemanager.viewer)
  • Función de editor del Administrador de certificados (roles/certificatemanager.editor)
  • Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para enumerar los mapas de certificados, usa el comando gcloud certificate-manager maps list:

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Para obtener una lista de los mapas de certificados configurados, realiza una solicitud LIST al método certificateMaps.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Cómo ver los detalles de un mapa de certificados

Puedes ver los detalles de un mapa de certificados existente, como su fecha y hora de creación, y la fecha y hora de la última actualización.

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de visualizador del administrador de certificados (roles/certificatemanager.viewer)
  • Función de editor del Administrador de certificados (roles/certificatemanager.editor)
  • Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para ver el estado de un mapa de certificados, usa el comando gcloud certificate-manager maps describe:

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Para ver los detalles del mapa de certificados, realiza una solicitud GET al método certificateMaps.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Borra un mapa de certificados

Antes de borrar un mapa de certificados, haz lo siguiente:

Para realizar esta tarea, debes tener uno de los siguientes roles de IAM en el proyecto de Google Cloud de destino.

  • Función de propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para borrar un mapa de certificados, usa el comando gcloud certificate-manager maps delete:

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Para borrar el mapa de certificados, realiza una solicitud DELETE al método certificateMaps.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

¿Qué sigue?