Se usó la API de Cloud Translation para traducir esta página.

Configura TLS autenticado de backend

En esta página, se proporcionan instrucciones para configurar TLS autenticado por backend, también conocido como autenticación de backend, con certificados autoadministrados para balanceadores de cargas de aplicaciones externos globales.

Para configurar el TLS autenticado de backend, debes hacer lo siguiente:

Crea un recurso de configuración de confianza que conste de certificados raíz e intermedios.
Crea un recurso de configuración de autenticación de backend que haga referencia a la configuración de confianza.
Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas.

Antes de comenzar

Revisa la descripción general de la TLS autenticada del backend y la mTLS del backend.
Consulta Cómo administrar configuraciones de confianza.
Si quieres seguir las instrucciones de esta guía con Google Cloud CLI, debes instalarlo. Encontrarás comandos relacionados con el balanceo de cargas en las referencias de la API y la CLI de gcloud.

Si no ejecutaste la CLI de gcloud antes, ejecuta primero el comando gcloud init para autenticarte.
Habilita las siguientes APIs: API de Compute Engine, API de Certificate Manager, seguridad de red y API de Network Services. Para obtener más información, consulta Habilita las APIs.
Configura un balanceador de cargas de aplicaciones externo global con cualquiera de los siguientes backends compatibles:
- Backends de grupos de instancias de VM
- NEG de conectividad híbrida
- NEG zonales

Permisos

En esta sección, se enumeran los permisos necesarios para configurar TLS autenticado en el backend.

Operación	Permiso
Crea una configuración de confianza	`certificatemanager.trustconfigs.create` en el proyecto de Google Cloud de destino
Crea un recurso de configuración de autenticación de backend	`certificatemanager.certs.use` en el certificado de destino `certificatemanager.trustconfigs.use` en la configuración de confianza de destino `networksecurity.backendauthenticationconfigs.create` en el proyecto de Google Cloud de destino
Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas	`compute.backendservice.update` en el servicio de backend objetivo `networksecurity.backendauthenticationconfigs.use` en el recurso de configuración de autenticación de backend de destino

Descripción general de la configuración

En las siguientes secciones, se describen los pasos para configurar el TLS autenticado del backend según la arquitectura que se muestra en el siguiente diagrama:

Componentes de TLS autenticado de backend — Componentes de TLS autenticados del backend (haz clic para ampliar).

Crea los certificados raíz y intermedios

En esta sección, se usa la biblioteca OpenSSL para crear el certificado raíz (anclaje de confianza) y el certificado intermedio.

Un certificado raíz se encuentra en la parte superior de la cadena de certificados. Un certificado intermedio es parte de la cadena de confianza que se remonta al certificado raíz. El certificado intermedio está firmado criptográficamente por el certificado raíz. Cuando el balanceador de cargas recibe un certificado de servidor, lo valida estableciendo una cadena de confianza desde el certificado del servidor hasta el ancla de confianza configurada.

Usa los siguientes comandos para crear los certificados raíz e intermedios.

Crea un archivo de configuración de OpenSSL.

En el siguiente ejemplo, el archivo de configuración (example.cnf) contiene la sección [ca_exts], que especifica las extensiones X.509 que marcan el certificado como adecuado para una AC. Para obtener más información sobre los requisitos de los certificados raíz y intermedios, consulta Requisitos de los certificados.
```
cat > example.cnf << EOF
[req]
distinguished_name = empty_distinguished_name

[empty_distinguished_name]
# Kept empty to allow setting via -subj command-line argument.

[ca_exts]
basicConstraints=critical,CA:TRUE
keyUsage=keyCertSign
extendedKeyUsage=serverAuth

EOF
```

Crea un certificado raíz X.509 autofirmado (root.cert). El certificado raíz se autofirma con su propia clave privada (root.key).

openssl req -x509 \
    -new -sha256 -newkey rsa:2048 -nodes \
    -days 3650 -subj '/CN=root' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout root.key -out root.cert

Crea la solicitud de firma de certificado (CSR) int.req para el certificado intermedio.

openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -subj '/CN=int' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout int.key -out int.req

Firma la CSR para crear el certificado intermedio X.509 (int.cert). La CSR se firma con el certificado raíz.

openssl x509 -req \
    -CAkey root.key -CA root.cert \
    -set_serial 1 \
    -days 3650 \
    -extfile example.cnf \
    -extensions ca_exts \
    -in int.req -out int.cert

Da formato a los certificados

Para incluir certificados nuevos o existentes en un almacén de confianza, debes dar formato a los certificados en una sola línea y almacenarlos en variables de entorno para que el archivo YAML de configuración de confianza pueda hacer referencia a ellos.

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

Crea un recurso de configuración de confianza

Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en el Administrador de certificados.

Para crear un recurso de configuración de confianza, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a la página Administrador de certificados.

Ir al Administrador de certificados
En la pestaña Trust Configs, haz clic en Add Trust Config.
Ingresa un nombre para la configuración.
En Ubicación, selecciona Global. La ubicación indica dónde se almacena el recurso de configuración de confianza. Para los balanceadores de cargas de aplicaciones externos globales, debes crear un recurso de configuración de confianza global.
En la sección Trust store, haz clic en Add trust anchor y sube el archivo de certificado con codificación PEM o copia el contenido del certificado.
Haz clic en Agregar.
En la sección Trust store, haz clic en Add intermediate CA y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Este paso te permite agregar otro nivel de confianza entre el certificado raíz y el certificado del servidor.
Haz clic en Agregar para agregar la AC intermedia.
Para agregar el certificado que agregaste a la lista de entidades permitidas, haz clic en Agregar.
Haz clic en Crear.

Verifica que el nuevo recurso de configuración de confianza aparezca en la lista de configuraciones.

gcloud

Crea un archivo YAML de configuración de confianza (trust_config.yaml) que especifique los parámetros de configuración de confianza. Este recurso de configuración de confianza de ejemplo contiene un almacén de confianza con un ancla de confianza y un certificado intermedio. Este ejemplo de recurso de configuración de confianza lee el contenido del certificado de las variables de entorno creadas en el paso anterior Da formato a los certificados.
```
cat << EOF > trust_config.yaml
trustStores:
- trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF
```
Para crear un almacén de confianza con anclas de confianza adicionales o certificados de AC intermedios, agrega filas pemCertificate en la sección adecuada.
Para importar el archivo YAML de configuración de confianza, usa el comando gcloud certificate-manager trust-configs import:

Para los balanceadores de cargas de aplicaciones externos globales, especifica global como la ubicación en la que se almacena el recurso de configuración de confianza.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global
```
Reemplaza lo siguiente:
- TRUST_CONFIG_NAME: el nombre del recurso de configuración de confianza

Crea un recurso de configuración de autenticación de backend

Para crear un recurso de configuración de autenticación de backend (BackendAuthenticationConfig), completa los siguientes pasos.

Console

En la consola de Google Cloud, ve a la página Configuración de autenticación.
Ve a Configuración de autenticación
En la pestaña Autenticación de backend, haz clic en Crear.
Ingresa un nombre para el recurso de configuración de autenticación de backend.
Opcional: Selecciona las raíces de confianza públicas.
Selecciona el recurso de configuración de confianza que creaste antes.
Haz clic en Crear.

Verifica que se muestre el recurso de configuración de autenticación de backend.

gcloud

Crea un archivo YAML que especifique de forma declarativa los diferentes atributos del recurso de configuración de autenticación del backend.
```
cat << EOF > BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml
name: projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
trustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
wellKnownRoots: PUBLIC_ROOTS
EOF
```
Reemplaza lo siguiente:
- BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: Es el nombre del archivo YAML en el que se define el recurso de configuración de autenticación de backend.
- PROJECT_ID: El ID de tu proyecto de Google Cloud
- BACKEND_AUTH_CONFIG_NAME: el nombre del recurso de configuración de autenticación de backend
- TRUST_CONFIG_NAME: Es el nombre del recurso de configuración de confianza que creaste antes.
Para importar el recurso de configuración de autenticación de backend, usa el comando gcloud beta network-security backend-authentication-configs import:
```
gcloud beta network-security backend-authentication-configs import BACKEND_AUTH_CONFIG_NAME \
   --source=BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml \
   --location=global
```
Reemplaza lo siguiente:
- BACKEND_AUTH_CONFIG_NAME: Es el nombre del recurso de configuración de autenticación de backend.
- BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: Es el nombre del archivo YAML en el que se define el recurso de configuración de AuthenticationBackend.

Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas

Para adjuntar el recurso de configuración de autenticación de backend (BackendAuthenticationConfig) al servicio de backend del balanceador de cargas, completa los siguientes pasos.

Console

En la consola de Google Cloud, ve a la página Balanceo de cargas.

Ir a Balanceo de cargas
En la pestaña Backends, selecciona el servicio de backend para el que necesitas habilitar el TLS autenticado y el mTLS del backend.
Haz clic en Editar.
Expande la sección Configuraciones avanzadas.
En la sección Autenticación de backend, selecciona la casilla de verificación Habilitar.
Opcional: Especifica el nombre de host de SNI y los SAN aceptados para validar el certificado de backend.
Para adjuntar el recurso de configuración de autenticación de backend al servicio de backend, en la lista Backend Authentication Config, selecciona el recurso de configuración de autenticación de backend.
Haz clic en Continuar.
Para actualizar la configuración del servicio de backend, haz clic en Actualizar.

gcloud

Para enumerar todos los recursos de servicios de backend de tu proyecto, usa el comando gcloud compute backend-services list.
```
gcloud compute backend-services list
```
Toma nota del nombre del servicio de backend al que se conectará el recurso BackendAuthenticationConfig. Este nombre se denomina BACKEND_SERVICE_NAME en los siguientes pasos.
Para exportar la configuración del servicio de backend a un archivo, usa el comando gcloud beta compute backend-services export.
```
gcloud beta compute backend-services export BACKEND_SERVICE_NAME \
    --destination=BACKEND_SERVICE_FILENAME.yaml \
    --global
```
Reemplaza lo siguiente:
- BACKEND_SERVICE_NAME: el nombre del servicio de backend.
- BACKEND_SERVICE_FILENAME: Es el nombre y la ruta de acceso a un archivo YAML en el que se exporta la configuración del servicio de backend.
Actualiza el atributo tlsSettings del servicio de backend y diríjalo al recurso de configuración de autenticación de backend. Además, puedes configurar el nombre de host de SNI y las SAN aceptadas en el servicio de backend para validar el certificado de backend.
```
  cat << EOF >> BACKEND_SERVICE_FILENAME.yaml
  tlsSettings:
    authenticationConfig: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
    sni: examplepetstore.com
    subjectAltNames:
    - dnsName: examplepetstore.com
    - dnsName: api.examplepetstore.com
  EOF
  
```
Los valores de SNI y SAN en la declaración de YAML anterior son solo para fines de ejemplo. Puedes reemplazarlos por valores reales que sean relevantes para tu configuración.

Reemplaza lo siguiente:
- BACKEND_SERVICE_FILENAME: Es el nombre del archivo YAML al que se exporta la configuración del servicio de backend.
- PROJECT_IDEl ID de tu proyecto de Google Cloud.
- BACKEND_AUTH_CONFIG_NAME: Es el nombre del recurso de configuración de autenticación de backend.
Para importar la configuración actualizada del servicio de backend desde un archivo, usa el comando gcloud beta compute backend-services import.
```
gcloud beta compute backend-services import BACKEND_SERVICE_NAME \
    --source=BACKEND_SERVICE_FILENAME.yaml \
    --global
```
Reemplaza lo siguiente:
- BACKEND_SERVICE_NAME: el nombre del servicio de backend.
- BACKEND_SERVICE_FILENAME: Es el nombre del archivo YAML de configuración del servicio de backend.

Crea un certificado de servidor de backend

En esta sección, se proporciona una opción de configuración adicional para crear un certificado de servidor (hoja) firmado por el certificado intermedio, que es parte de la configuración de confianza. Esto garantiza que se pueda establecer una cadena de confianza desde el certificado del servidor hasta el ancla de confianza.

Si ya creaste un recurso de configuración de confianza que contiene un certificado intermedio, haz lo siguiente:

Crea un archivo de configuración para generar la CSR del certificado del servidor.

El siguiente archivo de configuración (server.config) contiene la sección [extension_requirements], que especifica las extensiones X.509 que se incluirán en la CSR. Para obtener más información sobre los requisitos de los certificados de servidor, consulta Requisitos de los certificados.

cat > server.config << EOF
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = critical, CA:FALSE
keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage          = serverAuth
subjectAltName            = @alt_names

[alt_names]
DNS.1 = examplepetstore.com
DNS.2 = api.examplepetstore.com

[dn_requirements]
countryName               = US
stateOrProvinceName       = California
localityName              = San Francisco
0.organizationName        = example
organizationalUnitName    = test
commonName                = examplepetstore.com
emailAddress              = test@examplepetstore.com

EOF

Crea la CSR (server.csr) para el certificado del servidor.

openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -config server.config \
    -keyout server.key -out server.csr

Firma la CSR para emitir el certificado de servidor X.509 (server.cert). El certificado intermedio firma la CSR.
```
openssl x509 -req \
    -CAkey int.key -CA int.cert \
    -days 365 \
    -extfile server.config \
    -extensions extension_requirements \
    -in server.csr -out server.cert
```
Cuando el balanceador de cargas se conecta al servidor de backend, este presenta su certificado (server.cert) para autenticarse en el balanceador de cargas y completar el proceso de autenticación de backend.

Opciones de configuración de SSL adicionales en un servidor web Apache

En esta sección opcional, se explica el proceso para actualizar las opciones de configuración de SSL en un servidor Apache según los certificados de servidor que creaste antes.

Copia la clave privada (server.key) y el certificado (server.cert) del servidor en el servidor web de Apache.

    cat > server.key << EOF
    -----BEGIN PRIVATE KEY-----
    [...]
    -----END PRIVATE KEY-----
    EOF

    sudo cp ./server.key /etc/ssl/private/server.key

Reemplaza [...] por la clave privada del servidor con codificación PEM que creaste antes.

    cat > server.cert << EOF
    -----BEGIN CERTIFICATE-----
    [...]
    -----END CERTIFICATE-----
    EOF

    sudo cp ./server.cert /etc/ssl/certs/server.cert

Reemplaza [...] por el certificado de servidor codificado en PEM que creaste antes.

Actualiza la configuración de SSL del servidor web Apache.

Actualiza la configuración de SSL de Apache para habilitar el tráfico HTTPS con el certificado SSL y la clave privada especificados.

    sudo vi /etc/apache2/sites-available/default-ssl.conf

    ----
    SSLCertificateFile      /etc/ssl/certs/server.cert
    SSLCertificateKeyFile /etc/ssl/private/server.key
    ----

Vuelve a generar un hash de los certificados de la AC.
```
    sudo c_rehash /etc/ssl/certs/
    
```
Reinicia el servidor web Apache para aplicar los cambios.
```
    sudo systemctl restart apache2.service
    
```

Configura TLS autenticado de backend

Antes de comenzar

Permisos

Descripción general de la configuración

Crea los certificados raíz y intermedios

Da formato a los certificados

Crea un recurso de configuración de confianza

Console

gcloud

Crea un recurso de configuración de autenticación de backend

Console

gcloud

Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas

Console

gcloud

Crea un certificado de servidor de backend

Opciones de configuración de SSL adicionales en un servidor web Apache

¿Qué sigue?