Administra la configuración de confianza

En esta página, se describe cómo crear y administrar configuraciones de confianza para usarlas en situaciones de autenticación TLS mutua (mTLS).

Para obtener más información, consulta los siguientes recursos:

En las instrucciones de gcloud de esta página, se supone que estás usando Cloud Shell o algún otro entorno con bash instalado Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI de Certificate Manager.

Crea una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Editor del Administrador de certificados (roles/certificatemanager.editor)
  • Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para crear una configuración de confianza, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Trust Configs, haz clic en Add Trust Config.

  3. En el campo Nombre, ingresa un nombre para la configuración.

    El nombre debe ser único para el proyecto. Además, debe comenzar con una letra minúscula seguida de hasta 62 letras minúsculas, números o guiones, y debe no debe terminar con un guion.

  4. Opcional: En el campo Descripción, ingresa una descripción para la configuración. Esta descripción te ayudará a identificar una configuración específica más adelante.

  5. Opcional: En el campo Etiquetas, especifica las etiquetas para asociarlas a la confianza. config. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  6. En Ubicación, selecciona Global o Regional.

    Si seleccionaste Regional, elige la Región.

  7. En la sección Almacén de confianza, agrega anclas de confianza y AC intermedias.

    Puedes especificar varios anclajes de confianza y certificados intermedios con la carga útil PEM completa del certificado, un certificado por instancia.

    1. En la sección Anclas de confianza , haz clic en Agregar anclas de confianza y sube la archivo de certificado con codificación PEM o copia el contenido del certificado. Cuando termines, haz clic en Agregar.
    2. Opcional: En la sección AC intermedias, haz clic en Agregar AC intermedia. sube el archivo del certificado intermedio con codificación PEM o copia el contenido del certificado intermedio. Cuando termines, haz clic en Agregar.

      Este paso te permite agregar otro nivel de confianza entre el certificado raíz y tu certificado de servidor.

    3. Opcional: En la sección Certificados de la lista de entidades permitidas, haz clic en Agregar certificado y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Esta acción agregará el certificado a una lista de entidades permitidas. Cuando termines, haz clic en Agregar.

      Un certificado que se agrega a una lista de entidades permitidas representa cualquier certificado que puede encapsularse en la configuración de confianza para que siempre considerada válida. Para encapsular varios certificados en una lista de entidades permitidas en la configuración de confianza, usa varias instancias de pemCertificate , un certificado por instancia, agregado a la lista de entidades permitidas. Un certificado que se agrega a una lista de entidades permitidas siempre se considera válido, siempre y cuando se pueda analizar, se establezca una prueba de posesión de la clave privada y se cumplan las restricciones del campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan. a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468

  8. Haz clic en Crear.

Verifica que la nueva configuración de confianza aparezca en la lista de configuraciones.

gcloud

  1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de configuración de confianza.

    El archivo tiene el siguiente formato:

    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Reemplaza lo siguiente:

    • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa. que usará el certificado para este recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa del certificado intermedio que se usará para este recurso de configuración de confianza. Este valor es opcional.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

    Puedes especificar múltiples anclas de confianza y certificados intermedios de las siguientes maneras: con varias instancias del campo pemCertificate, se usará un por instancia, en sus respectivas secciones del recurso de configuración de confianza especificación.

    Un certificado que se agrega a una lista de entidades permitidas representa cualquier certificado que se pueda encapsular dentro de la configuración de confianza para que siempre se considere válido. Para encapsular varios certificados en una lista de entidades permitidas en la configuración de confianza, usa varias instancias de pemCertificate , un certificado por instancia, agregado a la lista de entidades permitidas. Un certificado que se agrega a una lista de entidades permitidas siempre se considera válido, siempre y cuando se pueda analizar, se establezca una prueba de posesión de la clave privada y se cumplan las restricciones del campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan. a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468

  2. Para importar el archivo YAML de configuración de confianza, usa el comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: Un ID único que identifica este recurso de configuración de confianza.
    • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
    • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del objeto en el archivo YAML de configuración de confianza que creaste en el paso 1.
    • LOCATION: Es la región en la que se encuentra el recurso de configuración de confianza. cuando se almacena. La ubicación predeterminada es global.

API

Realiza una solicitud POST al método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud de destino.
  • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
  • DESCRIPTION: Una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.
  • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para este recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa del certificado intermedio que se usará para este recurso de configuración de confianza. Este valor es opcional.
  • ALLOWLISTED_CERT: Es el certificado que se agrega al una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

Actualizar una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

  • Editor del Administrador de certificados (roles/certificatemanager.editor)
  • Propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para actualizar una configuración de confianza, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Trust Configs, localiza y selecciona la configuración de confianza que deseas actualizar.

  3. En la columna Más opciones, haz clic en el ícono de la configuración que deseas actualizar y selecciona Editar.

  4. Realiza los cambios necesarios.

  5. Haz clic en Guardar.

Verifica que los cambios de configuración estén actualizados.

gcloud

  1. Crea un archivo YAML de configuración de confianza actualizado que especifique los nuevos parámetros de configuración de confianza. El archivo tiene el siguiente formato:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
    • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para este recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: La carga útil PEM completa del certificado intermedio que se usará para este recurso de configuración de confianza. Este valor es opcional.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a un lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.
  2. Importa el nuevo archivo de configuración de confianza al Administrador de certificados con el nombre del recurso de configuración de confianza existente:

    Usa el comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Reemplaza lo siguiente:

    • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
    • PROJECT_ID: El ID del proyecto de Google Cloud de destino.
    • TRUST_CONFIG_FILE: La ruta de acceso completa y el nombre del archivo de configuración de confianza actualizado.
    • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud PATCH al método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": {
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    },
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud de destino.
  • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
  • DESCRIPTION: Una descripción significativa para esto recurso de configuración de confianza. Esta descripción es opcional.
  • CERTIFICATE_PEM_PAYLOAD: La carga útil PEM completa que el certificado usará para este recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: el conjunto de datos Carga útil de PEM para el certificado intermedio que se usará para esta configuración de confianza recurso de configuración. Este valor es opcional.
  • ALLOWLISTED_CERT: Es el certificado que se agrega al una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es de opcional.

Enumera las configuraciones de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados (roles/certificatemanager.viewer)
  • Editor de Certificate Manager (roles/certificatemanager.editor)
  • Propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para obtener una lista de las configuraciones de confianza configuradas, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ve al Administrador de certificados.

  2. Haz clic en la pestaña Trust Configs.

    En la pestaña, se muestra una lista de los recursos de configuración de confianza configurados.

gcloud

Usa el comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Reemplaza lo siguiente:

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: una lista delimitada por comas de campos name por los que los resultados que se muestran están ordenados.

    El orden predeterminado es ascendente. Para el orden de clasificación descendente, Prefija el campo elegido con una virgulilla (~).

  • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud GET al método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
  • FILTER: Es una expresión que restringe el valor que se muestra. resultados a valores específicos.
  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.
  • SORT_BY: Es una lista de nombres de campo separados por comas en los que se ordenan los resultados que se muestran.

    El orden predeterminado es ascendente. Para el orden descendente, prefija el campo seleccionado con una virgulilla (~).

  • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

Cómo ver las configuraciones de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de Google Cloud de destino:

  • Visualizador del administrador de certificados (roles/certificatemanager.viewer)
  • Editor de Certificate Manager (roles/certificatemanager.editor)
  • Propietario de Certificate Manager (roles/certificatemanager.owner)

Para obtener más información, consulta Roles y permisos.

Para ver una configuración de confianza, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ve al Administrador de certificados.

  2. Haz clic en la pestaña Trust Configs. En la pestaña, se muestra una lista de los recursos de configuración de confianza configurados.

  3. Selecciona el recurso de configuración de confianza para ver sus detalles.

    En la página Detalles de la configuración de confianza, se muestra información detallada sobre la configuración de confianza seleccionada.

gcloud

Usa el comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Reemplaza lo siguiente:

  • TRUST_CONFIG_ID: Es el ID de la configuración de confianza de destino.
  • LOCATION: Es la región en la que se encuentra el recurso de configuración de confianza. cuando se almacena. La ubicación predeterminada es global.

API

Realiza una solicitud GET al método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud de destino.
  • TRUST_CONFIG_ID: Es el ID de la configuración de confianza de destino.
  • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

Borra una configuración de confianza

Para completar esta tarea, debes tener el rol de propietario del Administrador de certificados (roles/certificatemanager.owner) en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Para borrar una configuración de confianza, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página Administrador de certificados.

    Ir al Administrador de certificados

  2. En la pestaña Trust Configs, selecciona la casilla de verificación de la configuración de confianza que deseas borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud

Usa el comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Reemplaza lo siguiente:

  • TRUST_CONFIG_ID: Es el ID de la configuración de confianza de destino.
  • LOCATION: el región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Realiza una solicitud DELETE al método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud de destino.
  • LOCATION: Es la región en la que se encuentra el recurso de configuración de confianza. cuando se almacena. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: Es el ID de la configuración de confianza de destino.

¿Qué sigue?