Usar certificados SSL gestionados por Google

En esta página se explica cómo crear y usar certificados SSL gestionados por Google de Compute Engine.

Para crear certificados gestionados por Google con Certificate Manager, consulta el artículo Descripción general de la implementación.

Los certificados SSL gestionados por Google son certificados de validación de dominio (DV) que GoogleGoogle Cloud obtiene y gestiona para tus dominios. Admiten varios nombres de host en cada certificado y Google renueva los certificados automáticamente.

Los certificados gestionados por Google se admiten en los siguientes balanceadores de carga:

• Balanceador de carga de aplicación externo global
• Balanceador de carga de aplicación clásico
• Balanceador de carga de red del proxy externo (con un proxy SSL de destino)

Los certificados SSL gestionados por Google de Compute Engine no se admiten en los balanceadores de carga de aplicaciones externos regionales, los balanceadores de carga de aplicaciones internos regionales ni los balanceadores de carga de aplicaciones internos entre regiones. En el caso de estos balanceadores de carga, puedes usar certificados SSL autogestionados de Compute Engine o considerar la posibilidad de usar Gestor de certificados.

También puedes usar certificados SSL gestionados con Google Kubernetes Engine. Para obtener más información, consulta Usar certificados SSL gestionados por Google.

Puedes crear un certificado gestionado por Google antes, durante o después de crear tu balanceador de carga. En esta página se da por hecho que vas a crear el certificado de Compute Engine antes o después de crear el balanceador de carga, no durante el proceso. Para crear el certificado mientras creas el balanceador de carga, consulta las páginas de instrucciones del balanceador de carga.

Antes de empezar

• Familiarícese con la información general sobre los certificados SSL.
• Asegúrate de que tienes los nombres de dominio que quieres usar para tu certificado SSL gestionado por Google. Si usas Cloud Domains, consulta Registrar un dominio.

• Asegúrate de que la API de Compute Engine esté habilitada en tu proyecto.

  Habilitar la API de Compute Engine

Permisos

Para seguir esta guía, debes poder crear y modificar certificados SSL en tu proyecto. Puedes hacerlo si se cumple una de las siguientes condiciones:

• Eres propietario o editor (roles/owner o roles/editor) del proyecto.
• Tienes los roles Administrador de seguridad de Compute (compute.securityAdmin) y Administrador de red de Compute (compute.networkAdmin) en el proyecto.
• Tienes un rol personalizado para el proyecto que incluye los permisos compute.sslCertificates.* y uno o ambos de compute.targetHttpsProxies.* y compute.targetSslProxies.*, en función del tipo de balanceador de carga que utilices.

Paso 1. Crear un certificado SSL gestionado por Google

Puedes crear un certificado gestionado por Google antes, durante o después de crear tu balanceador de carga. Durante el proceso de creación de un balanceador de carga en la consola de Google Cloud, puedes usar la consola para crear tu certificado.Google Cloud Google Cloud También puedes crear el certificado antes o después de crear el balanceador de carga. En este paso se explica cómo crear un certificado que puede añadir más adelante a uno o varios balanceadores de carga.

Si ya has creado tu certificado SSL gestionado por Google, puedes saltarte este paso.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Consultar el estado de un certificado SSL gestionado por Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

En este punto, el estado del certificado y el del dominio son PROVISIONING. Una vez que hayas completado los pasos de esta página, los estados cambiarán a ACTIVE.

Para obtener más información sobre los estados, consulta la página de solución de problemas.

Paso 2: Crea o actualiza tu balanceador de carga

Para obtener el estado ACTIVE, el certificado SSL gestionado por Google debe asociarse a un balanceador de carga, concretamente al proxy de destino del balanceador de carga.

Una vez que hayas creado tu certificado SSL y esté en el estado PROVISIONING, puedes usarlo durante la creación de tu balanceador de carga, tal como se describe en las siguientes guías:

• Configurar un balanceador de carga de aplicación externo global con un backend de Compute Engine
• Configurar un balanceador de carga de aplicación clásico con un backend de Compute Engine
• Configurar un balanceador de carga de red de proxy externo con un proxy SSL

También puedes usarlo para actualizar un balanceador de carga, como se describe aquí:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Cada proxy HTTPS o SSL de destino debe hacer referencia a al menos un certificado SSL. Un proxy de destino puede hacer referencia a más de un certificado SSL. Para obtener más información, consulta Grupos de destino y proxies de destino en las cuotas y los límites de los recursos de balanceo de carga.

Paso 3: Verifica la asociación del proxy de destino

Una vez que hayas creado o actualizado tu balanceador de carga, puedes comprobar que el certificado SSL está asociado al proxy de destino del balanceador de carga.

Si aún no sabes el nombre del proxy de destino, usa los comandos gcloud compute target-https-proxies list y gcloud compute target-ssl-proxies list para enumerar los proxies de destino de tu proyecto.

Verifica la asociación entre el certificado SSL y el proxy de destino ejecutando el siguiente comando.

En el caso de los balanceadores de carga de aplicación externos globales:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

En el caso de los balanceadores de carga de red de proxy externos:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

En este punto, el estado de tu certificado gestionado por Google puede seguir siendo PROVISIONING. Google Cloud está trabajando con la autoridad de certificación para emitir el certificado. El aprovisionamiento de un certificado gestionado por Google puede tardar hasta 60 minutos.

Paso 4: Actualiza los registros A y AAAA de DNS para que apunten a la dirección IP del balanceador de carga

Es posible que los registros DNS se gestionen en el sitio del registrador, el host de DNS o el ISP.

Al gestionar tus registros, ten en cuenta lo siguiente:

• Asegúrate de que los registros A de DNS (para IPv4) y los registros AAAA de DNS (para IPv6) de tus dominios y subdominios dirijan a la dirección IP asociada a la regla o reglas de reenvío del balanceador de carga.

  Para aprovisionar certificados SSL, asegúrate de que los registros A y AAAA apunten a la dirección IP del balanceador de carga en un DNS público.

• Si usas Cloud DNS, configura tus dominios y actualiza tus servidores de nombres.

• Si tiene varios dominios en un certificado gestionado por Google, añada o actualice los registros DNS de todos los dominios y subdominios para que apunten a la dirección IP de su balanceador de carga. La validación del certificado falla si los dominios y subdominios de un certificado gestionado por Google apuntan a una IP distinta de la dirección IP de la regla de reenvío del balanceador de carga.

• Asegúrate de que tu proveedor de DNS responda de forma coherente a todas las solicitudes de validación de dominio global.

Los certificados gestionados se aprovisionan correctamente cuando se cumplen las siguientes condiciones:

• Los registros DNS de tu dominio usan un registro CNAME que apunta a otro dominio.
• El otro dominio contiene un registro A o AAAA que apunta a la dirección IP de tu balanceador de carga.

Puedes verificar la configuración ejecutando el comando dig. Por ejemplo, supongamos que tu dominio es www.example.com. Ejecuta el siguiente comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

En este ejemplo, 34.95.64.10 es la dirección IP de tu balanceador de carga.

Los solucionadores de DNS de Internet no están controlados porGoogle Cloud. Almacenan en caché los conjuntos de registros de recursos según su tiempo de vida (TTL), lo que significa que un comando dig o nslookup puede devolver un valor almacenado en caché. Si usas Cloud DNS, consulta Propagación de cambios.

Tiempo de propagación del registro DNS

Los registros A y AAAA de DNS recién actualizados pueden tardar bastante tiempo en propagarse por completo. A veces, la propagación en Internet tarda hasta 72 horas en todo el mundo, aunque normalmente se completa en unas horas.

Vuelve a ejecutar el siguiente comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Si el estado de tu dominio es FAILED_NOT_VISIBLE, puede deberse a que la propagación no se ha completado.

Para obtener información detallada, consulta la sección sobre el estado del dominio del certificado SSL gestionado por Google en la página Solución de problemas.

Validación de dominio desde varias perspectivas

Google Cloud renueva periódicamente tus certificados gestionados por Google solicitándolos a autoridades de certificación (ACs). Las autoridades de certificación con las queGoogle Cloud trabaja para renovar tus certificados usan un método de validación de dominio multiperspectiva conocido como corroboración de emisión multiperspectiva (MPIC). Como parte de este proceso, las autoridades de certificación verifican el control del dominio comprobando la configuración de DNS del dominio e intentando ponerse en contacto con el servidor que hay detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de vista de Internet. Si el proceso de validación falla, los certificados gestionados por Google no se renuevan. Como resultado, el balanceador de carga sirve un certificado caducado a los clientes, lo que provoca que los usuarios del navegador se encuentren con errores de certificado y que los clientes de la API experimenten fallos de conexión.

Para evitar que se produzcan errores de validación de dominio desde varias perspectivas debido a registros DNS mal configurados, ten en cuenta lo siguiente:

• Los registros A de DNS (IPv4) y AAAA de DNS (IPv6) de tus dominios y subdominios deben apuntar únicamente a la dirección o direcciones IP asociadas a la regla o reglas de reenvío del balanceador de carga. La existencia de cualquier otra dirección en el registro puede provocar que la validación falle.
• La autoridad certificadora, que valida los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de forma coherente a todas las solicitudes de validación de dominio globales.
• Si se usan GeoDNS (que devuelve direcciones IP diferentes en función de la ubicación de la solicitud) o políticas de DNS basadas en la ubicación, se pueden producir respuestas incoherentes y la validación puede fallar. Si tu proveedor de DNS usa GeoDNS, inhabilítalo o asegúrate de que todas las regiones devuelvan la misma dirección IP del balanceador de carga.
• Debes especificar explícitamente las direcciones IP de tu balanceador de carga en tu configuración de DNS. Las capas intermedias, como una CDN, pueden provocar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redirecciones, cortafuegos ni CDNs en la ruta de solicitud. Para obtener más información, consulta la sección Balanceadores de carga detrás de una CDN de este documento.
• Te recomendamos que uses un comprobador de propagación global de DNS de tu elección para verificar que todos los registros DNS relevantes se resuelven correctamente y de forma coherente en todo el mundo.

Verificar los cambios de configuración

Una vez que hayas configurado los registros DNS, puedes verificar que sean correctos creando un certificado y conectándolo a tu balanceador de carga junto con el certificado actual. Este paso fuerza una comprobación inmediata del aprovisionamiento de certificados con la AC, lo que te permite verificar los cambios en la configuración en cuestión de minutos. Si no lo haces, la renovación automática del certificado puede tardar días o semanas, lo que genera incertidumbre sobre tu configuración.

Si el estado del certificado pasa a ser ACTIVE, significa que se ha emitido el certificado y, por lo tanto, que la configuración de DNS es correcta. En este punto, te recomendamos que elimines el certificado anterior para evitar tener dos certificados independientes para el mismo dominio. Este proceso no interrumpe el tráfico a tu balanceador de carga.

El nuevo certificado sirve como herramienta de validación: su creación confirma que la validación de dominio multiperspectiva mediante MPIC funciona correctamente en tu configuración.

Balanceadores de carga detrás de una CDN

En el caso de los balanceadores de carga que tienen habilitada la CDN, es posible que algunos proveedores de CDN de terceros en la ruta de la solicitud impidan que las solicitudes de validación se completen correctamente. Esto puede ocurrir si el proveedor de CDN está proxyizando activamente el tráfico HTTP(S).

En estos casos, te recomendamos que migres tus certificados a Certificate Manager y que uses el método de autorización de DNS para aprovisionar certificados gestionados por Google. Con este último método, la autoridad de certificación no tiene que ponerse en contacto con tu balanceador de carga.

Paso 5: Prueba con OpenSSL

Una vez que los estados del certificado y del dominio sean activos, tu balanceador de carga puede tardar hasta 30 minutos en empezar a usar tu certificado SSL gestionado por Google.

Para probarlo, ejecuta el siguiente comando de OpenSSL, sustituyendo DOMAIN por tu nombre de DNS y IP_ADDRESS por la dirección IP de tu balanceador de carga.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Este comando muestra los certificados que el balanceador de carga presenta al cliente. Además de otra información detallada, el resultado debe incluir la cadena de certificados y Verify return code: 0 (ok).

Procedimientos adicionales

En esta sección se incluyen procedimientos adicionales para gestionar sus certificados.

Admitir varios dominios con un certificado SSL gestionado por Google

Se admiten varios nombres alternativos de la entidad. Cada certificado SSL gestionado por Google admite hasta el número máximo de dominios por certificado SSL gestionado por Google.

Si tiene más dominios que el número máximo permitido, debe solicitar varios certificados gestionados por Google. Por ejemplo, si intentas crear un certificado gestionado por Google con (el máximo + 1) dominios, Google no emitirá ningún certificado. En su lugar, debe crear dos o más certificados gestionados por Google e indicar explícitamente qué dominios están asociados a cada certificado.

Google Cloud implementa la indicación de nombre de servidor (SNI), tal como se define en RFC 6066.

Para asegurarte de que tus certificados superen el paso de validación del dominio del proceso de renovación, consulta los requisitos de tus registros A y AAAA de DNS.

No puedes modificar la lista de nombres de dominio de un certificado SSL gestionado por Google. Si necesitas añadir o quitar un dominio, debes crear un certificado que incluya todos los dominios que quieras proteger y, a continuación, seguir el proceso de sustitución que se describe en este documento.

Renovar un certificado SSL gestionado por Google

Google Cloud proporciona certificados gestionados válidos durante 90 días. Aproximadamente un mes antes de que caduque, se iniciará automáticamente el proceso de renovación del certificado. Para ello, se elige una autoridad de certificación (CA) que esté tanto en el registro DNS de autorización de autoridad de certificación (CAA) de tu dominio como en la lista de CAs.

La AC usada para la renovación puede ser diferente de la que se usó para emitir una versión anterior de tu certificado gestionado por Google. Puedes controlar la AC queGoogle Cloud se usa para la renovación. Para ello, asegúrate de que el registro DNS CAA de tu dominio especifique una única AC de la lista de ACs que usan los certificados gestionados por Google.

Para asegurarte de que tus certificados superen el paso de validación del dominio del proceso de renovación, consulta los requisitos de tus registros A y AAAA de DNS.

Especificar las ACs que pueden emitir tu certificado gestionado por Google

En tu software de DNS, te recomendamos que autorices explícitamente a las CAs que quieras que emitan tu certificado gestionado por Google. Aunque no es obligatorio en todos los casos, sí lo es en determinadas situaciones.

Por ejemplo, si utilizas un servicio DNS externo y se revoca tu certificado gestionado por Google, es posible que el servicio solo valide un certificado nuevo emitido por una o varias CAs específicas.

Para ello, crea o modifica un registro CAA para incluir pki.goog o letsencrypt.org, o ambos. Si no tiene un registro CAA, el comportamiento predeterminado es permitir tanto pki.goog como letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

La compatibilidad con los certificados letsencrypt.org se ofrece en la medida de lo posible. Para disfrutar de la máxima fiabilidad, permite pki.goog y letsencrypt.org. Si especificas solo una de las CAs, solo se usará esa CA para crear y renovar tu certificado. No se recomienda este enfoque.

Cuando crees tu certificado por primera vez, Google Cloud seleccionará pki.goog o letsencrypt.org y lo usará para emitir tu certificado. Cuando Google renueve tu certificado, es posible que la otra AC emita tu certificado, en función de las ACs que hayas especificado en el registro CAA (si has creado uno). Es posible que otra CA renueve tu certificado en cualquiera de los siguientes casos:

• No tienes un registro CAA de DNS para tu dominio.
• Has incluido ambas autoridades de certificación en el registro CAA de DNS.

Para obtener más información, consulta el estándar RFC CAA DNS record.

letsencrypt.org problemas con los nombres de dominio internacionalizados (IDNs). pki.goog no admite IDNs por el momento.

Si usas Cloud DNS, consulta cómo añadir un registro y asegúrate de definir la marca --type en CAA.

Sustituir un certificado SSL

Para sustituir un certificado SSL, sigue estos pasos:

1. Inicia el proceso para crear el certificado SSL gestionado por Google de sustitución. Este certificado no se activa en este punto.

2. Actualiza el proxy de destino para que la lista de certificados a los que se hace referencia incluya el certificado SSL de sustitución junto con los certificados SSL actuales. Los pasos para actualizar el proxy de destino varían de la siguiente manera:

   • Actualizar un proxy HTTPS de destino
   • Actualizar un proxy SSL de destino

3. Espera a que se complete el aprovisionamiento del certificado SSL de sustitución. El aprovisionamiento puede tardar hasta 60 minutos. Cuando se complete el aprovisionamiento, el estado del certificado pasará a ser ACTIVE.

4. Espera otros 30 minutos para asegurarte de que el certificado de sustitución esté disponible para todos los front-ends de Google (GFEs).

5. Actualiza el proxy de destino para quitar el certificado SSL que vas a sustituir de la lista de certificados a los que se hace referencia. Los pasos para actualizar un proxy de destino varían de la siguiente manera:

   • Actualizar un proxy HTTPS de destino
   • Actualizar un proxy SSL de destino

6. Espera 10 minutos y confirma que el balanceador de carga está usando el certificado SSL de sustitución en lugar del antiguo.

7. Vuelve a actualizar el proxy de destino y elimina el recurso de certificado SSL antiguo. Puede eliminar el recurso de certificado SSL si ya no hace referencia a él ningún proxy de destino.

Si no eliminas el certificado SSL antiguo, permanecerá ACTIVO hasta que caduque.

Migrar de certificados SSL autogestionados a certificados SSL gestionados por Google

Cuando migras un balanceador de carga de certificados SSL autogestionados a certificados SSL gestionados por Google, debes seguir estos pasos en el orden indicado:

1. Crea un certificado gestionado por Google.
2. Asocia el nuevo certificado gestionado por Google al proxy de destino correcto y, al mismo tiempo, mantén la asociación del proxy de destino con el certificado autogestionado.
3. Espera hasta que el estado del certificado gestionado por Google sea ACTIVE.
4. Espera 30 minutos para que el nuevo certificado se propague a los front-ends de Google (GFEs).
5. Vuelve a actualizar el proxy de destino y elimina el recurso de certificado autogestionado. Puedes eliminar el recurso del certificado SSL autogestionado si ningún proxy de destino hace referencia a él.

Eliminar un certificado SSL

Antes de eliminar un certificado SSL, asegúrese de que ningún proxy HTTPS o SSL de destino haga referencia a él. Puedes hacerlo de dos formas:

• Elimina los proxies de destino que hagan referencia a este certificado.

• Actualice los proxies de destino que hagan referencia a este certificado para excluirlo. Los pasos varían de la siguiente manera:

  • Actualiza un proxy de destino HTTPS.
  • Actualiza un proxy de destino SSL.

Para eliminar uno o varios certificados SSL, sigue estos pasos:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Siguientes pasos

• Para solucionar problemas con los certificados SSL, consulta el artículo Solucionar problemas de certificados SSL.
• Para usar una secuencia de comandos de Terraform que cree un certificado gestionado por Google, consulta el ejemplo de Cloud Run en la página Ejemplos de módulos de Terraform para balanceadores de carga de aplicaciones externos.