Administra la configuración de confianza

En esta página, se describe cómo crear y administrar configuraciones de confianza para usarlas en situaciones de autenticación TLS mutua (mTLS).

Para obtener más información sobre la mTLS, consulta los siguientes recursos:

Crea una configuración de confianza

Cuando creas una configuración de confianza, debes especificar los vínculos de confianza que se usan para validar el certificado.

Para crear una configuración de confianza, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Trust Configs, haz clic en Add Trust Config.

  3. En el campo Nombre, ingresa un nombre para la configuración.

    El nombre debe ser único para el proyecto. Además, debe comenzar con una letra minúscula seguida por un máximo de 62 letras minúsculas, números o guiones, y no puede terminar con un guion.

  4. Opcional: En el campo Descripción, ingresa una descripción para la configuración. Esta descripción te ayudará a identificar una configuración específica más adelante.

  5. Opcional: En el campo Etiquetas, especifica las etiquetas que deseas asociar a la configuración de confianza. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  6. En Ubicación, selecciona Global o Regional.

    Si seleccionaste Regional, selecciona la Región.

  7. En la sección Almacén de confianza, agrega anclas de confianza y AC intermedias.

    Puedes especificar varias entidades de confianza y certificados intermedios con la carga útil PEM completa del certificado, un certificado por instancia.

    1. En la sección Anclas de confianza, haz clic en Agregar ancla de confianza y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Cuando termines, haz clic en Agregar.

    2. Opcional: En la sección AC intermedias, haz clic en Agregar AC intermedia y sube el archivo de certificado intermedio con codificación PEM, o bien copia el contenido del certificado intermedio. Cuando termines, haz clic en Agregar.

      Este paso te permite agregar otro nivel de confianza entre el certificado raíz y el certificado del servidor.

    3. Opcional: En la sección Certificados incluidos en la lista de entidades permitidas, haz clic en Agregar certificado y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. De esta manera, se agrega el certificado a una lista de entidades permitidas. Cuando termines, haz clic en Agregar.

    Para especificar varios anclajes de confianza o certificados intermedios dentro de la especificación de recursos de configuración de confianza, usa varias instancias del campo pemCertificate. Cada instancia del campo contiene un solo certificado.

    La configuración de confianza siempre considera que un certificado en una lista de entidades permitidas es válido. Para encapsular varios certificados en una lista de entidades permitidas, usa varias instancias del campo pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados agregados a una lista de entidades permitidas.

    La configuración de confianza siempre considera que un certificado de una lista de entidades permitidas es válido si cumple con condiciones específicas: debe poder analizarse, tener un comprobante de propiedad de la clave privada y cumplir con las restricciones del campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468.

  8. Haz clic en Crear.

Verifica que la nueva configuración de confianza aparezca en la lista de configuraciones.

gcloud

  1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de configuración de confianza.

    El archivo tiene el siguiente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
    • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para el recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa para el certificado intermedio que se usará para el recurso de configuración de confianza.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se añaden a una lista de entidades permitidas para usar en este recurso de configuración de confianza.

    Para especificar varios anclajes de confianza o certificados intermedios dentro de la especificación de recursos de configuración de confianza, usa varias instancias del campo pemCertificate. Cada instancia del campo contiene un solo certificado.

    La configuración de confianza siempre considera que un certificado en una lista de entidades permitidas es válido. Para encapsular varios certificados en una lista de entidades permitidas, usa varias instancias del campo pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados agregados a una lista de entidades permitidas.

    La configuración de confianza siempre considera que un certificado de una lista de entidades permitidas es válido si cumple con condiciones específicas: debe poder analizarse, tener un comprobante de propiedad de la clave privada y cumplir con las restricciones del campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468.

  2. Para importar el archivo YAML de configuración de confianza, usa el comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
    • PROJECT_ID: El ID del proyecto de Google Cloud.
    • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza que creaste en el paso 1.
    • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud POST al método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
  • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.
  • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para el recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa para el certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.
  • ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

Actualiza una configuración de confianza

Para actualizar una configuración de confianza, crea otro archivo YAML de configuración de confianza que especifique los nuevos parámetros de configuración de confianza y, luego, impórtalo al Administrador de certificados.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Trust Configs, busca y selecciona la configuración de confianza que deseas actualizar.

  3. En la columna Más opciones, haz clic en Más acciones para la configuración que deseas actualizar y selecciona Editar.

  4. Realiza los cambios necesarios.

  5. Haz clic en Guardar.

Verifica que los cambios de configuración se hayan actualizado.

gcloud

  1. Exporta el archivo YAML de configuración de confianza.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
    • PROJECT_ID: El ID del proyecto de Google Cloud.
    • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza.
    • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

  2. Edita el archivo YAML de configuración de confianza.

    El archivo tiene el siguiente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
    • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para el recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa del certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

  3. Importa el nuevo archivo de configuración de confianza al Administrador de certificados con el nombre de recurso de configuración de confianza existente.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
    • PROJECT_ID: El ID del proyecto de Google Cloud.
    • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza.
    • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud PATCH al método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
  • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Esta descripción es opcional.
  • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para el recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa para el certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.
  • ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

Enumerar parámetros de configuración de confianza

Puedes ver todas las configuraciones de confianza configuradas de tu proyecto.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. Haz clic en la pestaña Trust Configs. En la pestaña, se muestra una lista de los recursos de configuración de confianza configurados.

gcloud

Usa el comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Reemplaza lo siguiente:

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global. Para ver todas las configuraciones de confianza en todas las ubicaciones, especifica un solo guion (-).

API

Realiza una solicitud GET al método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. Para ver todas las configuraciones de confianza en todas las ubicaciones, especifica un solo guion (-).

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Cómo ver las configuraciones de confianza

Puedes ver los detalles de una configuración de confianza específica.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. Haz clic en la pestaña Trust Configs. En la pestaña, se muestra una lista de los recursos de configuración de confianza configurados.

  3. Selecciona el recurso de configuración de confianza para ver sus detalles. En la página Detalles de la configuración de confianza, se muestra información detallada sobre la configuración de confianza seleccionada.

gcloud

Usa el comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Reemplaza lo siguiente:

  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud GET al método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.

Borra una configuración de confianza

Antes de borrar una configuración de confianza, desasóciala del recurso de autenticación de cliente (ServerTlsPolicy).

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Configuraciones de confianza, selecciona la casilla de verificación de la configuración de confianza que quieres borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud

Usa el comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Reemplaza lo siguiente:

  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud DELETE al método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: El ID del recurso de configuración de confianza.

¿Qué sigue?