Configurar TLS autenticado de backend

En esta página se explica cómo configurar TLS autenticado de backend, también conocido como autenticación de backend, mediante certificados autogestionados para balanceadores de carga de aplicaciones externos globales.

Para configurar TLS autenticado por backend, debes hacer lo siguiente:

• Crea un recurso de configuración de confianza que conste de certificados raíz e intermedios.
• Crea un recurso Backend Authentication Config que haga referencia al recurso TrustConfig.
• Asocia el recurso Backend Authentication Config al servicio de backend del balanceador de carga.

Antes de empezar

• Consulta la descripción general de TLS autenticado de backend y mTLS de backend.
• Consulta Gestionar configuraciones de confianza.

• Si quieres seguir las instrucciones de esta guía con la CLI de Google Cloud, debes instalarla. Puedes encontrar comandos relacionados con el balanceo de carga en las referencias de la API y de gcloud CLI.

  Si no has ejecutado la CLI de gcloud anteriormente, ejecuta primero el comando gcloud init para autenticarte.

• Habilita las siguientes APIs: API de Compute Engine, API de Certificate Manager, Network Security y API de Network Services. Para obtener más información, consulta Habilitar APIs.

• Configura un balanceador de carga de aplicación externo global con cualquiera de los siguientes backends admitidos:

  • Backends de grupos de instancias de VM
  • NEGs de conectividad híbrida
  • NEGs por zonas

Permisos

Descripción general de la configuración

En las secciones siguientes se describen los pasos para configurar TLS autenticado por backend a partir de la arquitectura que se muestra en el siguiente diagrama:

Crear los certificados raíz e intermedio

En esta sección se usa la biblioteca OpenSSL para crear el certificado raíz (ancla de confianza) y el certificado intermedio.

Un certificado raíz se encuentra en la parte superior de la cadena de certificados. Un certificado intermedio forma parte de la cadena de confianza que lleva al certificado raíz. El certificado intermedio está firmado criptográficamente por el certificado raíz. Cuando el balanceador de carga recibe un certificado de servidor, lo valida estableciendo una cadena de confianza desde el certificado de servidor hasta el ancla de confianza configurada.

Usa los siguientes comandos para crear los certificados raíz e intermedio.

1. Crea un archivo de configuración de OpenSSL.

   En el siguiente ejemplo, el archivo de configuración (example.cnf) contiene la sección [ca_exts], que especifica las extensiones X.509 que marcan el certificado como adecuado para una AC. Para obtener más información sobre los requisitos de los certificados raíz e intermedios, consulta los requisitos de los certificados.

   cat > example.cnf << EOF
   [req]
   distinguished_name = empty_distinguished_name
   
   [empty_distinguished_name]
   # Kept empty to allow setting via -subj command-line argument.
   
   [ca_exts]
   basicConstraints=critical,CA:TRUE
   keyUsage=keyCertSign
   extendedKeyUsage=serverAuth
   
   EOF
   

2. Crea un certificado raíz X.509 con firma automática (root.cert). El certificado raíz se firma automáticamente con su propia clave privada (root.key).

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=root' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout root.key -out root.cert
   

3. Crea la solicitud de firma de certificado (CSR) int.req para el certificado intermedio.

   openssl req -new \
       -sha256 -newkey rsa:2048 -nodes \
       -subj '/CN=int' \
       -config example.cnf \
       -extensions ca_exts \
       -keyout int.key -out int.req
   

4. Firma la CSR para crear el certificado intermedio X.509 (int.cert). La CSR se firma con el certificado raíz.

   openssl x509 -req \
       -CAkey root.key -CA root.cert \
       -set_serial 1 \
       -days 3650 \
       -extfile example.cnf \
       -extensions ca_exts \
       -in int.req -out int.cert
   

Dar formato a los certificados

Para incluir certificados nuevos o ya creados en un almacén de confianza, formatee los certificados en una sola línea y almacénelos en variables de entorno para que se puedan hacer referencia a ellos en el archivo YAML de configuración de confianza.

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

Crear un recurso de configuración de confianza

Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en Certificate Manager.

Para crear un recurso de configuración de confianza, sigue estos pasos:

Crear un recurso BackendAuthenticationConfig

Para crear un recurso de configuración de autenticación de backend (BackendAuthenticationConfig), sigue estos pasos.

Asocia el recurso Backend Authentication Config al servicio de backend del balanceador de carga

Para asociar el recurso Backend Authentication Config (BackendAuthenticationConfig) al servicio de backend del balanceador de carga, sigue estos pasos.

Crear un certificado de servidor backend

En esta sección se ofrece una opción de configuración adicional para crear un certificado de servidor (hoja) firmado por el certificado intermedio, que forma parte de la configuración de confianza. De esta forma, se puede establecer una cadena de confianza desde el certificado del servidor hasta el ancla de confianza.

Si ya has creado un recurso de configuración de confianza que contiene un certificado intermedio, haz lo siguiente:

1. Crea un archivo de configuración para generar la CSR del certificado de servidor.

   El siguiente archivo de configuración (server.config) contiene la sección [extension_requirements], que especifica las extensiones X.509 que se deben incluir en la CSR. Para obtener más información sobre los requisitos de los certificados de servidor, consulta Requisitos de los certificados.

   cat > server.config << EOF
   [req]
   default_bits              = 2048
   req_extensions            = extension_requirements
   distinguished_name        = dn_requirements
   prompt                    = no
   
   [extension_requirements]
   basicConstraints          = critical, CA:FALSE
   keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage          = serverAuth
   subjectAltName            = @alt_names
   
   [alt_names]
   DNS.1 = examplepetstore.com
   DNS.2 = api.examplepetstore.com
   
   [dn_requirements]
   countryName               = US
   stateOrProvinceName       = California
   localityName              = San Francisco
   0.organizationName        = example
   organizationalUnitName    = test
   commonName                = examplepetstore.com
   emailAddress              = test@examplepetstore.com
   
   EOF
   

2. Crea la CSR (server.csr) del certificado de servidor.

   openssl req -new \
       -sha256 -newkey rsa:2048 -nodes \
       -config server.config \
       -keyout server.key -out server.csr
   

3. Firma la CSR para emitir el certificado de servidor X.509 (server.cert). La CSR está firmada por el certificado intermedio.

   openssl x509 -req \
       -CAkey int.key -CA int.cert \
       -days 365 \
       -extfile server.config \
       -extensions extension_requirements \
       -in server.csr -out server.cert
   

   Cuando el balanceador de carga se conecta al servidor backend, este presenta su certificado (server.cert) para autenticarse ante el balanceador de carga, lo que completa el proceso de autenticación del backend.

Opciones de configuración SSL adicionales en un servidor web Apache

1. Copia la clave privada del servidor (server.key) y el certificado del servidor (server.cert) en el servidor web Apache.

       cat > server.key << EOF
       -----BEGIN PRIVATE KEY-----
       [...]
       -----END PRIVATE KEY-----
       EOF
   
       sudo cp ./server.key /etc/ssl/private/server.key
       

   Sustituye [...] por la clave privada del servidor codificada en PEM que has creado anteriormente.

       cat > server.cert << EOF
       -----BEGIN CERTIFICATE-----
       [...]
       -----END CERTIFICATE-----
       EOF
   
       sudo cp ./server.cert /etc/ssl/certs/server.cert
       

   Sustituye [...] por el certificado de servidor codificado en PEM que has creado anteriormente.

2. Actualiza la configuración de SSL del servidor web Apache.

   Actualiza la configuración SSL de Apache para habilitar el tráfico HTTPS mediante el certificado SSL y la clave privada especificados.

       sudo vi /etc/apache2/sites-available/default-ssl.conf
   
       ----
       SSLCertificateFile      /etc/ssl/certs/server.cert
       SSLCertificateKeyFile /etc/ssl/private/server.key
       ----
       

3. Vuelve a generar el hash de los certificados de la AC.

       sudo c_rehash /etc/ssl/certs/
       

4. Reinicia el servidor web Apache para aplicar los cambios.

       sudo systemctl restart apache2.service
       

Siguientes pasos

• Configurar mTLS de backend
• Información general sobre mTLS
• Configurar mTLS con una AC privada