Administra la configuración de confianza

En esta página, se describe cómo crear y administrar la configuración de confianza para usar en situaciones de autenticación TLS mutua (mTLS).

Para obtener más información, consulta los siguientes recursos:

• Para obtener más información sobre la configuración de confianza, las anclas de confianza y los certificados intermedios, consulta Configuración de confianza en Cómo funciona el Administrador de certificados.

• Para obtener más información sobre mTLS, consulta Autenticación mutua de TLS en la documentación de Cloud Load Balancing.

• Si deseas usar una configuración de confianza para configurar mTLS en tu proxy de destino, consulta una de las siguientes páginas en la documentación de Cloud Load Balancing:

  • Configura la TLS mutua con certificados firmados
  • Configura la TLS mutua con una CA privada

En las instrucciones de gcloud de esta página, se supone que usas Cloud Shell o algún otro entorno con bash instalado. Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta la referencia de la CLI del Administrador de certificados.

Crea una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para crear una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de configuración de confianza. El archivo tiene el siguiente formato:

   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil de PEM completa para el certificado intermedio que se usará en este recurso de configuración de confianza. Este valor es opcional.

   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Es el certificado incluido en la lista de entidades permitidas que se usará para este recurso de configuración de confianza. Este valor es opcional.

     Puedes especificar varias anclas de confianza y certificados intermedios mediante varias instancias del campo pemCertificate, un certificado por instancia, en sus respectivas secciones de la especificación del recurso de configuración de confianza.

     Un certificado incluido en la lista de entidades permitidas representa cualquier certificado que se puede encapsular dentro de la configuración de confianza para que siempre se consideren válidos. Puedes especificar varios certificados incluidos en la lista de entidades permitidas mediante varias instancias del campo pemCertificate, un certificado por instancia para la configuración de confianza. No necesitas un almacén de confianza mientras usas certificados incluidos en la lista de entidades permitidas. Un certificado incluido en la lista de entidades permitidas siempre se considera válido, siempre y cuando se pueda analizar, se establezca una prueba de posesión de la clave privada y se cumplan las restricciones en el campo de SAN del certificado. Los certificados vencidos también se consideran válidos cuando están en la lista de entidades permitidas.

2. Importa el archivo de configuración de confianza al Administrador de certificados:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza que creaste en el paso 1.
   • LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

   API

   Realiza una solicitud POST al método trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil de PEM completa para el certificado intermedio que se usará en este recurso de configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado incluido en la lista de entidades permitidas que se usará para este recurso de configuración de confianza. Este valor es opcional.

Actualizar una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para actualizar una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza actualizado que especifique los nuevos parámetros de configuración de confianza. El archivo tiene el siguiente formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica este recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil de PEM completa para el certificado intermedio que se usará en este recurso de configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT1: Es el certificado incluido en la lista de entidades permitidas que se usará para este recurso de configuración de confianza. Este valor es opcional.

2. Importa el nuevo archivo de configuración de confianza al Administrador de certificados en el nombre del recurso de configuración de confianza existente:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo de configuración de confianza actualizado.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

   API

   Realiza una solicitud PATCH al método trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza de destino.
   • DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. La descripción es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa que el certificado usará para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es la carga útil completa de PEM para el certificado intermedio que se usará en este recurso de configuración de configuración de confianza. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado incluido en la lista de entidades permitidas que se usará para este recurso de configuración de confianza. Este valor es opcional.

Enumerar parámetros de configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para obtener una lista de los parámetros de configuración de confianza establecidos, completa los siguientes pasos.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ver la configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el proyecto de destino de Google Cloud:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para ver una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Borrar una configuración de confianza

Para completar esta tarea, debes tener el rol Propietario del administrador de certificados (roles/certificatemanager.owner) en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Para borrar una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

¿Qué sigue?

• Administra los certificados
• Cómo administrar mapas de certificados
• Cómo administrar las entradas del mapa de certificados
• Administra las autorizaciones de DNS
• Administra la configuración de la emisión de certificados