Administrar la configuración de confianza

En esta página, se describe cómo crear y administrar la configuración de confianza para su uso en situaciones de autenticación mutua de TLS (mTLS).

Para obtener más información, consulta los siguientes recursos:

• Para obtener más información sobre las configuraciones de confianza, las anclas de confianza y los certificados intermedios, consulta Configuraciones de confianza en Cómo funciona el Administrador de certificados.

• Para obtener más información sobre mTLS, consulta Autenticación mutua de TLS en la documentación de Cloud Load Balancing.

• Si quieres usar una configuración de confianza para configurar mTLS en tu proxy de destino, consulta una de las siguientes páginas en la documentación de Cloud Load Balancing:

  • Configura la TLS mutua con certificados firmados
  • Configura la TLS mutua con una CA privada

En las instrucciones de gcloud de esta página, se supone que usas Cloud Shell o algún otro entorno con bash instalado. Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crea una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para crear una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de esta configuración. El archivo tiene el siguiente formato:

   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado intermedio usará para este recurso de configuración de confianza. Este valor es opcional.

   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

     Puedes especificar varias anclas de confianza y certificados intermedios mediante el uso de varias instancias del campo pemCertificate, un certificado por instancia, en sus respectivas secciones de la especificación del recurso de configuración de confianza.

     Un certificado que se agrega a una lista de entidades permitidas representa cualquier certificado que se pueda encapsular dentro de la configuración de confianza para que siempre se considere válido. Para encapsular varios certificados en una lista de entidades permitidas dentro de la configuración de confianza, usa varias instancias del campo pemCertificate, un certificado por instancia. No necesitas un almacén de confianza mientras usas los certificados agregados a una lista de entidades permitidas. Un certificado que se agrega a una lista de entidades permitidas siempre se considera válido, siempre y cuando el certificado se pueda analizar, se establezca una prueba de posesión de la clave privada y se cumplan las restricciones del campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468.

2. Importa el archivo de configuración de confianza al Administrador de certificados:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza que creaste en el paso 1.
   • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

   API

   Realiza una solicitud POST al método trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado intermedio usará para este recurso de configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

Actualizar una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para actualizar una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza actualizado que especifique los nuevos parámetros de configuración de confianza. El archivo tiene el siguiente formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado intermedio usará para este recurso de configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

2. Importa el nuevo archivo de configuración de confianza al Administrador de certificados con el nombre del recurso de configuración de confianza existente:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo de configuración de confianza actualizado.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

   API

   Realiza una solicitud PATCH al método trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
   • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Esta descripción es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil completa de PEM que el certificado intermedio usará para este recurso de configuración de la configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

Enumera las configuraciones de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para mostrar una lista de las configuraciones de confianza configuradas, completa los siguientes pasos.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ver la configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para ver una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Borra una configuración de confianza

Para completar esta tarea, debes tener la función de propietario del administrador de certificados (roles/certificatemanager.owner) en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Para borrar una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

¿Qué sigue?

• Administra certificados
• Administrar mapas de certificados
• Administra las entradas del mapa de certificados
• Administra autorizaciones de DNS
• Administra los parámetros de configuración de emisión de certificados