Migra certificados al Administrador de certificados

En esta página, se describen los pasos para migrar uno o más certificados al Administrador de certificados. Abarca las siguientes situaciones:

  • Migra los certificados de terceros al Administrador de certificados.
  • Migra los certificados de Cloud Load Balancing al Administrador de certificados. Para obtener más información sobre los certificados de Cloud Load Balancing, consulta Descripción general de los certificados SSL en la documentación de Cloud Load Balancing.

En ambas situaciones, no se genera tiempo de inactividad mientras no se produzcan errores durante la configuración.

Para obtener más información sobre las entidades del Administrador de certificados que se mencionan en esta página, consulta Cómo funciona el Administrador de certificados.

Migra certificados de terceros al Administrador de certificados

En esta sección, se describe cómo migrar uno o más certificados entregados por un servicio de terceros al Administrador de certificados.

Antes de comenzar, debes seleccionar y configurar un balanceador de cargas compatible. El Administrador de certificados te permite adquirir y administrar certificados de seguridad de la capa de transporte (TLS) para usarlos con los siguientes recursos del balanceador de cargas:

  • Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:

    • Balanceador de cargas de aplicaciones externo global
    • Balanceador de cargas de aplicaciones clásico
    • Balanceador de cargas de aplicaciones regional externo regional (versión preliminar)
    • Balanceador de cargas de aplicaciones interno regional (vista previa)
    • Balanceador de cargas de aplicaciones interno entre regiones (vista previa)

  • Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:

    • Balanceador de cargas de red del proxy externo global
    • Balanceador de cargas de red del proxy clásico

Completa los siguientes pasos para cada certificado que desees migrar:

  1. Implementa el certificado de destino con la autorización de DNS, como se describe en Implementa un certificado administrado por Google con autorización de DNS (instructivo) hasta sin incluir los pasos de limpieza. Usa un único mapa de certificados para todos los certificados que migres al balanceador de cargas.

  2. Por cada certificado que implementaste en el paso anterior, prueba la conectividad con cada dominio que cubre el certificado en la dirección IP del balanceador de cargas con el siguiente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre del dominio de destino.
    • IP_ADDRESS: Es la dirección IP del balanceador de cargas.

    Para obtener más información sobre cómo probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

  3. Para cambiar el tráfico de tu servicio de terceros a Cloud Load Balancing, completa los pasos que se indican en Actualiza los registros A y AAAA del DNS para que apunten a la dirección IP del balanceador de cargas.

Migra certificados de Cloud Load Balancing al Administrador de certificados

En esta sección, se describe cómo migrar uno o más certificados de Cloud Load Balancing al Administrador de certificados.

Identifica los certificados que se migrarán

Completa los siguientes pasos para identificar los certificados que deseas migrar:

  1. En el balanceador de cargas de destino, identifica el nombre del proxy de destino.

  2. Identifica los certificados que deseas migrar con el siguiente comando para obtener información sobre el proxy de destino, incluidos los certificados adjuntos:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Reemplaza TARGET_PROXY_NAME por el nombre del proxy de destino.

    El resultado es similar al siguiente:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Para obtener más información, consulta Obtén información sobre un proxy de destino.

Crea los certificados en el Administrador de certificados

Crea los certificados seleccionados en el Administrador de certificados de la siguiente manera:

Antes de continuar con el siguiente paso, espera hasta que el estado de cada certificado cambie a ACTIVE, como se describe en Verifica que el certificado esté activo. La emisión de cada certificado puede tardar varias horas y su estado puede cambiar a ACTIVE.

Crea el mapa de certificados

Para implementar el certificado en un balanceador de cargas de aplicaciones externo global o en un balanceador de cargas de aplicaciones clásico, sigue los pasos que se indican en Crea un mapa de certificados para crear un mapa de certificados.

No necesitas un mapa de certificados para implementar el certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Crea las entradas del mapa de certificados

Para implementar el certificado en un balanceador de cargas de aplicaciones externo global o en un balanceador de cargas de aplicaciones clásico, crea una entrada de mapa de certificados. No necesitas una entrada de asignación de certificados para implementar un certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Para cada certificado que desees migrar, crea entradas de mapa de certificados que hagan referencia a esos certificados de la siguiente manera:

  1. Obtén los detalles del certificado con el siguiente comando:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

    El resultado es similar al siguiente:

       -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

  2. Para cada dominio que aparece en el campo subjectAlternativeNames, completa los pasos que se indican en Crea una entrada de mapa de certificados a fin de crear una entrada de mapa de certificados que abarque ese dominio. Si más de un certificado abarca un solo dominio, solo debes crear una entrada de mapa de certificados y usar cualquier certificado válido que abarque ese dominio.

  3. Opcional: Crea una entrada de mapa de certificados principal que haga referencia al certificado que corresponde al primer certificado de la lista de certificados adjuntos originalmente al proxy, como se describe en Crea una entrada de mapa de certificados principal.

  4. Usa el siguiente comando para verificar que cada entrada del mapa de certificados que creaste esté activa:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados de destino.
    • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta esta entrada de este mapa de certificados.

    El resultado es similar al siguiente:

       createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

Prueba tu configuración en un balanceador de cargas nuevo (opcional)

Para minimizar el tiempo de inactividad, te recomendamos que pruebes los mapas de certificados recién configurados en un balanceador de cargas nuevo que no entregue tráfico de producción. Esto te permite detectar y resolver cualquier error antes de continuar con la migración en tu entorno de producción.

Prueba tu configuración de la siguiente manera:

  1. Crea un balanceador de cargas nuevo con un proxy de destino nuevo según se describe en Cómo configurar un balanceador de cargas de aplicaciones externo.

  2. Si usas un balanceador de cargas de aplicaciones externo, adjunta el mapa de certificados que quieres probar al proxy de destino del balanceador de cargas nuevo como se describe en Adjunta el mapa de certificados al proxy de destino.

    Si usas un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno regional, adjunta el certificado al proxy de destino como se describe en Implementa un certificado regional autoadministrado.

  3. Para cada dominio de destino incluido en tu migración, prueba la conectividad al dominio en la dirección IP del balanceador de cargas nuevo con el siguiente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre del dominio de destino.
    • IP_ADDRESS: Es la dirección IP de tu balanceador de cargas nuevo.

    Para obtener más información sobre cómo probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

Limpia el entorno de pruebas

Limpia el entorno de pruebas que creaste en los pasos anteriores de la siguiente manera:

  1. Desconecta el mapa de certificados del proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  2. Borra el balanceador de cargas de prueba como se describe en Cómo borrar el balanceador de cargas.

No borres los certificados, el mapa de certificados ni las entradas de este mapa que creaste en los pasos anteriores.

Aplica el nuevo mapa de certificados al balanceador de cargas de destino

Una vez que hayas probado la nueva configuración de tu certificado y confirmado que es válida, aplica el nuevo mapa de certificados al balanceador de cargas de destino como se indica a continuación.

  1. Si usas un balanceador de cargas de aplicaciones externo, adjunta el nuevo mapa de certificados al proxy de destino adecuado, como se describe en Adjunta el mapa de certificados al proxy de destino.

    Si usas un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno regional, adjunta el certificado al proxy de destino como se describe en Implementa un certificado regional autoadministrado.

  2. Espera hasta que se haya aplicado el cambio de configuración y el balanceador de cargas haya comenzado a entregar el certificado nuevo. Este proceso suele demorar unos minutos, pero puede tardar hasta 30 minutos.

  3. Si observas algún problema con el tráfico, desconecta el mapa de certificados nuevo del proxy de destino completando los pasos que se indican en Desconecta un mapa de certificados de un proxy. Esto revierte el balanceador de cargas a su configuración original. De lo contrario, tu nueva configuración ya está completa.

    Si usas el balanceador de cargas de aplicaciones externo regional o el balanceador de cargas de aplicaciones interno regional, adjunta los certificados clásicos que se adjuntaron anteriormente para revertir el cambio.

¿Qué sigue?