Administrar mapas de certificados

En esta página, se describe cómo crear y administrar mapas de certificados.

Para obtener más información sobre los mapas de certificados, consulta Cómo funciona el Administrador de certificados.

Para aprender a implementar un certificado con el Administrador de certificados, consulta Descripción general de la implementación.

Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crea un mapa de certificados

Para crear un mapa de certificados, completa los pasos que se indican en esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es un nombre único que describe este mapa de certificados.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el mapa de certificados, realiza una solicitud POST al método certificateMaps.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es un nombre único que describe este mapa de certificados.

Conecta un mapa de certificados a un proxy

Después de crear un mapa de certificados y propagarlo con las entradas del mapa de certificados configuradas correctamente, debes adjuntarlo al proxy deseado. El Administrador de certificados admite proxies HTTPS de destino y proxies SSL de destino. Para obtener más información sobre las diferencias entre estos tipos de proxy, consulta Usa proxies de destino.

Si hay certificados TLS (SSL) existentes adjuntos directamente al proxy, este da prioridad a los certificados a los que hace referencia el mapa de certificados en lugar de los certificados TLS (SSL) conectados de forma directa.

Para completar esta tarea, debes tener el rol de Editor en el proyecto de Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa target-https-proxies.
    • Para los proxies SSL de destino, usa target-ssl-proxies.
  • PROXY_NAME es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados que contiene una o más entradas de mapa de certificados que hacen referencia a los certificados deseados.

API

Adjunta el mapa de certificados mediante una solicitud POST al método targetHttpsProxies o targetSslProxies de la siguiente manera:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa targetHttpsProxies.
    • Para los proxies SSL de destino, usa targetSslProxies.
  • PROXY_NAME es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados que contiene entradas de este tipo que hacen referencia a los certificados de destino.

Desconecta un mapa de certificados de un proxy

Para desvincular un mapa de certificados de un proxy, completa los pasos de esta sección.

Ten en cuenta lo siguiente:

  • Si había certificados TLS (SSL) adjuntos directamente al proxy, la desvinculación del mapa de certificados hace que el proxy se reanude con esos certificados TLS (SSL) conectados de forma directa.
  • Si no había certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede desvincular del proxy. Debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder desvincular el mapa de certificados.

Para completar esta tarea, debes tener el rol de administrador del balanceador de cargas de Compute en el proyecto de Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Reemplaza lo siguiente:

  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa target-https-proxies.
    • Para los proxies SSL de destino, usa target-ssl-proxies.
  • PROXY_NAME es el nombre del proxy de destino.

API

Para desvincular el mapa de certificados, realiza una solicitud POST al método targetHttpsProxies o targetSslProxies con un valor certificateMap vacío, como se muestra a continuación:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • PROXY_TYPE es el tipo de proxy de destino. Los tipos admitidos son los siguientes:
    • Para los proxies HTTP de destino, usa targetHttpsProxies.
    • Para los proxies SSL de destino, usa targetSslProxies.
  • PROXY_NAME es el nombre del proxy de destino.

Cómo actualizar un mapa de certificados

Para actualizar la descripción de un mapa de certificados, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.
  • DESCRIPTION es la nueva descripción de este mapa de certificados.
  • LABELS es una lista de etiquetas separadas por comas que se aplican a este mapa de certificados.

API

Para actualizar el mapa de certificados, realiza una solicitud PATCH al método certificateMaps.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.
  • DESCRIPTION es la nueva descripción de este mapa de certificados.
  • LABEL_KEY es una clave de etiqueta que se aplica a este mapa de certificados.
  • LABEL_VALUE es un valor de etiqueta que se aplica a este mapa de certificados.

Mostrar lista de mapas de certificados

Para enumerar los mapas de certificados configurados actualmente, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos. Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con el Administrador de certificados, consulta Ordena y filtra resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE es la cantidad de resultados que se muestran por página.

  • LIMIT es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY es una lista delimitada por comas de campos name por la que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo ~ al campo deseado.

API

Para enumerar los mapas de certificados configurados, realiza una solicitud LIST al método certificateMaps.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • FILTER es una expresión que restringe los resultados que se muestran a valores específicos.
  • PAGE_SIZE es la cantidad de resultados que se muestran por página.
  • SORT_BY es una lista delimitada por comas de nombres de campo según la cual se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente; para el orden descendente, agrega el prefijo ~ al campo deseado.

Visualiza el estado de un mapa de certificados

Para ver el estado de un mapa de certificados, completa los pasos de esta sección.

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

  • Visualizador del administrador de certificados
  • Editor del Administrador de certificados
  • Propietario del Administrador de certificados

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

API

Observa el estado del mapa de certificados mediante una solicitud GET al método certificateMaps.get de la siguiente manera:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

Cómo borrar un mapa de certificados

Para borrar un mapa de certificados, completa los pasos que se indican en esta sección. Antes de borrar un mapa de certificados, primero debes desconectarlo de su proxy de destino.

Si hay entradas de mapas de certificados asignadas al mapa que deseas borrar, debes borrarlas manualmente antes de poder borrar el mapa. De lo contrario, fallará la eliminación.

Para completar esta tarea, debes tener el rol Propietario del Administrador de certificados en el proyecto de destino de Google Cloud.

Para obtener más información, consulta Funciones y permisos.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

API

Borra el mapa de certificados mediante una solicitud DELETE al método certificateMaps.delete de la siguiente manera:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • PROJECT_ID es el ID del proyecto de Google Cloud de destino.
  • CERTIFICATE_MAP_NAME es el nombre del mapa de certificados de destino.

¿Qué sigue?