Migra los certificados del balanceador de cargas al Administrador de certificados

En este instructivo, se muestra cómo migrar los certificados de Cloud Load Balancing al Administrador de certificados. Para obtener más información sobre los certificados de Cloud Load Balancing, consulta la descripción general de certificados SSL en la documentación de Cloud Load Balancing.

Para migrar los certificados de Cloud Load Balancing sin tiempo de inactividad, primero identifica los certificados que deseas migrar. Luego, crea la misma cantidad de certificados administrados por Google que tus certificados de Cloud Load Balancing. A continuación, consolida los certificados en un solo mapa de certificados y pruébalo en otro balanceador de cargas. Si las pruebas se realizan correctamente, adjunta el mapa de certificados al balanceador de cargas de destino que aloja tus certificados de Cloud Load Balancing.

Para encontrar la lista de balanceadores de cargas compatibles, consulta la descripción general del Administrador de certificados.

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Identifica los certificados del balanceador de cargas de destino que deseas migrar.
  • Crear certificados administrados por Google
  • Crea un mapa de certificados y entradas de mapa de certificados.
  • Prueba el mapa de certificados en otro balanceador de cargas.
  • Adjunta el mapa de certificados al balanceador de cargas de destino.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Roles obligatorios

Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

  • Propietario de Certificate Manager (roles/certificatemanager.owner)

    Es obligatorio para crear y administrar recursos de Certificate Manager.

  • Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) o administrador de redes de Compute (roles/compute.networkAdmin)

    Es obligatorio para crear y administrar el proxy de destino HTTPS.

  • Administrador de DNS (roles/dns.admin)

    Obligatorio si deseas usar Cloud DNS como tu solución de DNS.

Para obtener más información, consulta lo siguiente:

Identifica los certificados que se migrarán

Para identificar los certificados que deseas migrar, sigue estos pasos:

  1. En el balanceador de cargas, identifica el nombre del proxy de destino.

  2. Identifica los certificados que deseas migrar.

    Para encontrar los certificados adjuntos a un proxy de destino, ejecuta el siguiente comando:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Reemplaza TARGET_PROXY_NAME por el nombre del proxy de destino.

    El resultado es similar a este:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Anota los nombres de los certificados que aparecen en el campo sslCertificates. Para obtener más información, consulta la descripción general de los proxies de destino.

  3. Obtén los detalles de cada certificado:

    gcloud compute ssl-certificates --project=PROJECT_ID describe LB_CERTIFICATE_NAME

    Reemplaza lo siguiente:

    • PROJECT_ID: El ID del proyecto de Google Cloud.
    • LB_CERTIFICATE_NAME: Es el nombre del certificado del balanceador de cargas.

    El resultado es similar a este:

       certificate: |
     -----BEGIN CERTIFICATE-----
     MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
     MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
     CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
     OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
     GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
     MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
     ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
     iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
     KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
     DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
     j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
     cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
     CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
     iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
     Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
     sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
     9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
     BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
     BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
     JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
     MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
     oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
     MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
     AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
     NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
     WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
     9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
     +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
     d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
     -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

Crea certificados administrados por Google

Crea la misma cantidad de certificados administrados por Google que los certificados del balanceador de cargas. Para un balanceador de cargas global o clásico, crea certificados globales. Para un balanceador de cargas regional, crea certificados regionales. Para un balanceador de cargas entre regiones, crea certificados entre regiones. Antes de crear los certificados, crea una autorización de DNS y agrega el registro CNAME a la zona del DNS autorizada de tu dominio.

Puedes crear certificados administrados por Google con autorización de DNS (recomendado) o certificados autoadministrados.

En esta sección, se muestran los pasos y los comandos para crear certificados globales administrados por Google. Para crear un certificado administrado por Google regional o multirregional, consulta Cómo crear un certificado administrado por Google.

Crea una autorización de DNS

Una autorización de DNS solo cubre un solo nombre de dominio. Debes crear una autorización de DNS independiente para cada nombre de dominio que quieras usar con el certificado de destino.

Si creas una autorización de DNS para un certificado comodín, como *.myorg.example.com, configura la autorización de DNS para el dominio superior, por ejemplo, myorg.example.com.

Console

Puedes crear una autorización de DNS o adjuntar una existente cuando creas un certificado. Para obtener más información, consulta Crea un certificado administrado por Google que haga referencia a la autorización de DNS.

gcloud

Para crear una autorización de DNS, usa el comando certificate-manager dns-authorizations create:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME"

Reemplaza lo siguiente:

  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • DOMAIN_NAME: Es el nombre del dominio de destino para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Los certificados globales administrados por Google usan FIXED_RECORD como el tipo de autorización de DNS predeterminado. Para usar la autorización de DNS de PER_PROJECT_RECORD, ejecuta el siguiente comando:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type="PER_PROJECT_RECORD"

Después de crear la autorización de DNS, verifícala con el comando certificate-manager dns-authorizations describe:

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \

El resultado es similar al siguiente. En el resultado, busca la línea dnsResourceRecord y obtén el registro CNAME (data, name y type) para agregarlo a tu configuración de DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.myorg.example.com.
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform

Para crear una autorización de DNS, puedes usar un recurso google_certificate_manager_dns_authorization.

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "${local.name}-dnsauth-${random_id.tf_prefix.hex}"
  description = "The default dns auth"
  domain      = local.domain
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear una autorización de DNS, realiza una solicitud POST al método dnsAuthorizations.create:

POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
  "domain": "DOMAIN_NAME",
  "type": "PER_PROJECT_RECORD" //optional
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • DOMAIN_NAME: Es el nombre del dominio de destino para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Crea un certificado administrado por Google que haga referencia a la autorización de DNS

Para crear un certificado global administrado por Google que haga referencia a la autorización de DNS que creaste en los pasos anteriores, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona Predeterminado.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Pública.

  9. En el campo Nombres de dominio, especifica una lista de nombres de dominio del certificado delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. El nombre de dominio también puede ser un nombre de dominio con comodín, como *.example.com.

  10. En Tipo de autorización, selecciona Autorización de DNS.

    En la página, se enumeran las autorizaciones de DNS de los nombres de dominio. Si un nombre de dominio no tiene una autorización de DNS asociada, sigue estos pasos para crearla:

    1. Haz clic en Crear autorización de DNS faltante.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de la autorización de DNS. El tipo de autorización de DNS predeterminado es FIXED_RECORD. Para usar la autorización de DNS por proyecto, selecciona la casilla de verificación Autorización por proyecto.
    3. Haz clic en Crear autorización de DNS.

  11. En el campo Etiquetas, especifica las etiquetas que deseas asociar al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado global administrado por Google con autorización de DNS, ejecuta el comando certificate-manager certificates create con la marca dns-authorizations:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: el nombre del certificado
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio de comodín, como *.myorg.example.com. El prefijo asterisco punto (*.) indica un certificado comodín.
  • AUTHORIZATION_NAMES: Es una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para el certificado.

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • CERTIFICATE_NAME: el nombre del certificado
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio de comodín, como *.myorg.example.com. El prefijo asterisco punto (.*) indica un certificado comodín.
  • AUTHORIZATION_NAMES: Es una lista de nombres de las autorizaciones de DNS delimitadas por comas.

Agrega el registro CNAME a tu configuración de DNS

Si usas una solución de DNS de terceros para administrar tu DNS, consulta su documentación para agregar el registro CNAME a la configuración de DNS. Si usas Google Cloud para administrar tu DNS, completa los pasos que se indican en esta sección.

Console

Para crear un conjunto de registros, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Zonas de DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en el nombre de la zona de DNS en la que deseas agregar el registro.

  3. En la página Detalles de la zona, haz clic en Agregar estándar.

  4. En la página Crear conjunto de registros, en el campo Nombre de DNS, ingresa el subdominio de la zona de DNS.

    Cuando ingreses el nombre del subdominio, asegúrate de que coincida con el valor completo del campo dnsResourceRecord.name, incluido el texto inhabilitado que aparece en el campo Nombre de DNS, como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

    Consulta los ejemplos siguientes:

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .example.com., ingresa _acme-challenge.myorg.

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge.

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge_ujmmovf2vn55tgye.

  5. En el campo Tipo de registro de recursos, selecciona CNAME.

  6. En el campo TTL, ingresa un valor numérico positivo para el tiempo de actividad del registro de recursos. Este valor indica el tiempo que se puede almacenar en caché.

  7. En la lista Unidad TTL, selecciona la unidad de tiempo, por ejemplo, 30 minutes.

  8. En el campo Nombre canónico, ingresa el valor completo del campo dnsResourceRecord.data como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

  9. Para ingresar información adicional, haz clic en Agregar elemento.

  10. Haga clic en Crear.

gcloud

Cuando creas una autorización de DNS, el comando de la CLI de gcloud muestra el registro CNAME correspondiente. Para agregar el registro CNAME a tu configuración de DNS en la zona del DNS del dominio de destino, sigue estos pasos:

  1. Inicia la transacción del registro DNS:

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

  2. Agrega el registro CNAME a la zona del DNS de destino:

    gcloud dns record-sets transaction add CNAME_RECORD \
    --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \
    --ttl="30" \
    --type="CNAME" \
    --zone="DNS_ZONE_NAME"

    Reemplaza lo siguiente:

    • CNAME_RECORD: Es el valor de datos completo del registro CNAME que muestra el comando de Google Cloud CLI que creó la autorización de DNS correspondiente.
    • VALIDATION_SUBDOMAIN_NAME: Es el subdominio de prefijo de la zona de DNS, como _acme-challenge. Puedes copiar el nombre del registro de comandos gcloud certificate-manager dns-authorizations describe, como se describe en Crea una autorización de DNS.
    • DOMAIN_NAME: Es el nombre del dominio de destino.El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. También debes incluir el punto final después del nombre de dominio de destino.
    • DNS_ZONE_NAME: Es el nombre de la zona de DNS de destino.

    Consulta el siguiente ejemplo:

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
    --name="_acme-challenge.myorg.example.com." \
    --ttl="30" \
    --type="CNAME" \
    --zone="myorg-example-com"

  3. Ejecuta la transacción del registro DNS para guardar los cambios:

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

Terraform

Para agregar el registro CNAME a tu configuración de DNS, puedes usar un recurso google_dns_record_set.

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

Verifica el estado del certificado

Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, verifica la columna Estado del certificado.

gcloud

Para verificar el estado del certificado, ejecuta el siguiente comando:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado administrado por Google de destino.

El resultado es similar a este:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  dnsAuthorizations:
    - projects/myProject/locations/global/dnsAuthorizations/myCert
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  -   myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Si el estado del certificado no es ACTIVE después de varias horas, verifica que hayas agregado correctamente el registro CNAME a la configuración de DNS.

Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.

Crea el mapa de certificados

Para implementar un certificado en un balanceador de cargas de aplicaciones externo global, crea un mapa de certificados.

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

Crea las entradas del mapa de certificados

Para implementar un certificado en un balanceador de cargas de aplicaciones externo global, crea una entrada de mapa de certificados.

Para cada certificado que quieras migrar, crea entradas de mapa de certificados que hagan referencia a esos certificados de la siguiente manera:

  1. Obtén los detalles del certificado.

  2. En el registro, para cada dominio que aparece en el campo subjectAlternativeNames, crea una entrada de mapa de certificados que cubra ese dominio. Si más de un certificado abarca un solo dominio, solo debes crear una entrada de mapa de certificados y usar cualquier certificado válido que cubra ese dominio.

    gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
    • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada de mapa de certificados.
    • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

  3. Opcional: Crea una entrada de mapa de certificado principal que haga referencia al certificado que corresponde al primer certificado de la lista de certificados que se adjuntaron originalmente al proxy.

    gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME" \
   --certificates="CERTIFICATE_NAMES" \
   --set-primary

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
    • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada de mapa de certificados.

  4. Para verificar el estado activo de cada entrada del mapa de certificados que creaste, ejecuta el siguiente comando:

     gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
     --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

    El resultado es similar a este:

       certificates:
   - projects/my-project/locations/global/certificates/my-certificate
   createTime: '2021-09-06T10:01:56.229472109Z'
   hostname: example.com
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

Opcional: Prueba tu configuración en un balanceador de cargas nuevo

Para minimizar el tiempo de inactividad, te recomendamos que pruebes los mapas de certificados configurados recientemente en un balanceador de cargas nuevo que no esté abasteciendo tráfico de producción. Esto te permite detectar y resolver cualquier error antes de continuar con la migración en tu entorno de producción.

Prueba la configuración de la siguiente manera:

  1. Crea un balanceador de cargas global con un nuevo proxy de destino. Para crear un balanceador de cargas, consulta las siguientes páginas:

  2. Adjunta el mapa de certificados al proxy de destino del nuevo balanceador de cargas.

    gcloud compute target-https-proxies create TEST_PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

    Reemplaza lo siguiente:

    • TEST_PROXY_NAME: El nombre del proxy de destino de prueba.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.

  3. Para cada dominio de destino incluido en la migración, prueba la conectividad con el dominio en la dirección IP del nuevo balanceador de cargas:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre del dominio de destino.
    • IP_ADDRESS: Es la dirección IP de tu nuevo balanceador de cargas.

    Para obtener más información sobre cómo probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

Limpia el entorno de prueba

Limpia el entorno de pruebas que creaste en los pasos anteriores.

Borra el balanceador de cargas de prueba como se describe en Cómo borrar el balanceador de cargas.

No borres los certificados, el mapa de certificados ni las entradas de mapa de certificados que creaste en los pasos anteriores.

Aplica el nuevo mapa de certificados al balanceador de cargas de destino

Después de probar la configuración del certificado nuevo y confirmar que es válida, sigue estos pasos para aplicar el nuevo mapa de certificados al balanceador de cargas de destino (el balanceador de cargas que aloja tus certificados).

  1. Si usas un balanceador de cargas global, conecta el mapa de certificados al proxy de destino del nuevo balanceador de cargas:

    gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

    Reemplaza lo siguiente:

    • TARGET_PROXY_NAME: Es el nombre del proxy de destino.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.

  2. Espera a que se aplique el cambio de configuración y el balanceador de cargas comience a entregar el certificado nuevo. Por lo general, esto tarda unos minutos, pero puede tardar hasta 30.

Se migraron tus certificados. Si notas algún problema con el tráfico, separa el nuevo mapa de certificados del proxy de destino. Esta acción revertirá el balanceador de cargas a su configuración original.

¿Qué sigue?