Usa certificados SSL administrados por Google.

En esta página, se explica cómo crear y usar certificados SSL administrados por Google de Compute Engine.

Para crear certificados administrados por Google mediante el Administrador de certificados, consulta Descripción general de la implementación.

Los certificados SSL administrados por Google son certificados de validación de dominio (DV) queGoogle Cloud obtiene y administra para tus dominios. Admiten varios nombres de host en cada certificado, y Google los renueva automáticamente.

Los certificados administrados por Google son compatibles con los siguientes balanceadores de cargas:

• Balanceador de cargas de aplicaciones externo global
• Balanceador de cargas de aplicaciones clásico
• Balanceador de cargas de red del proxy externo (con un proxy SSL de destino)

Los certificados SSL administrados por Google de Compute Engine no son compatibles con los balanceadores de cargas de aplicaciones externos regionales, los balanceadores de cargas de aplicaciones internos regionales ni los balanceadores de cargas de aplicaciones internos entre regiones. Para estos balanceadores de cargas, puedes usar certificados SSL autoadministrados de Compute Engine o considerar usar el Administrador de certificados en su lugar.

También puedes usar certificados SSL administrados con Google Kubernetes Engine. Para obtener más información, consulta Usa certificados SSL administrados por Google.

Puedes crear un certificado administrado por Google antes o después de crear el balanceador de cargas, o bien durante el proceso de creación. En esta página, se supone que creas el certificado de Compute Engine antes o después de crear el balanceador de cargas, no durante el proceso. Para crear el certificado mientras creas el balanceador de cargas, consulta las guías prácticas del balanceador de cargas.

Antes de comenzar

• Asegúrate de estar familiarizado con la descripción general de los certificados SSL.
• Asegúrate de tener los nombres de dominio que deseas usar para el certificado SSL administrado por Google. Si usas Cloud Domains, consulta Registra un dominio.

• Asegúrate de haber habilitado la API de Compute Engine para tu proyecto.

  Habilitar la API de Compute Engine

Permisos

Para seguir esta guía, debes poder crear y modificar certificados SSL en tu proyecto. Puedes hacer esto si se cumple una de las siguientes condiciones:

• Eres propietario o editor del proyecto (roles/owner o roles/editor).
• Tienes la función de Administrador de seguridad de Compute (compute.securityAdmin) y la función de administrador de red de Compute (compute.networkAdmin) en el proyecto.
• Tienes una función personalizada para el proyecto que incluye los permisos compute.sslCertificates.*, y compute.targetHttpsProxies.* o compute.targetSslProxies.* o ambos, según el tipo de balanceador de cargas que uses.

Paso 1: Crea un certificado SSL administrado por Google

Puedes crear un certificado administrado por Google antes o después de crear el balanceador de cargas, o bien durante el proceso de creación. Durante el proceso de creación de un balanceador de cargas en la consola deGoogle Cloud , puedes usar la consola de Google Cloud para crear tu certificado. Como alternativa, puedes crear el certificado antes o después de crear el balanceador de cargas. En este paso, se muestra cómo crear un certificado que luego puedes agregar a uno o más balanceadores de cargas.

Si ya creaste el certificado SSL administrado por Google, puedes omitir este paso.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Verifica el estado de un certificado SSL administrado por Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

En este punto, el estado del certificado y el estado del dominio son PROVISIONING. Tras completar los pasos de esta página, los estados cambian a ACTIVE.

Para obtener más información sobre los estados, consulta la página de solución de problemas.

Paso 2: Crea o actualiza el balanceador de cargas

Para convertirse en ACTIVE, el certificado SSL administrado por Google debe estar asociado con un balanceador de cargas, en particular, el proxy de destino del balanceador de cargas.

Después de crear tu certificado SSL y se encuentra en el estado PROVISIONING, puedes usarlo durante la creación de tu balanceador de cargas, como se describe en las siguientes guías prácticas:

• Configura un balanceador de cargas de aplicaciones externo global con un backend de Compute Engine
• Configura un balanceador de cargas de aplicaciones clásico con un backend de Compute Engine
• Configura un balanceador de cargas de red de proxy externo con un proxy SSL

También puedes usarlo para actualizar un balanceador de cargas existente, como se describe a continuación:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Cada proxy HTTPS o proxy SSL de destino debe hacer referencia al menos a un certificado SSL. Un proxy de destino puede hacer referencia a más de un certificado SSL. Para obtener más información, consulta Grupos de destino y proxies de destino en los límites y las cuotas de recursos del balanceo de cargas.

Paso 3: Verifica la asociación del proxy de destino

Después de crear o actualizar el balanceador de cargas, puedes asegurarte de que el certificado SSL esté asociado con el proxy de destino del balanceador de cargas.

Si aún no conoces el nombre del proxy de destino, usa los comandos gcloud compute target-https-proxies list ygcloud compute target-ssl-proxies list para enumerar los proxies de destino en tu proyecto.

Verifica la asociación entre el certificado SSL y el proxy de destino mediante la ejecución del siguiente comando.

Balanceadores de cargas de aplicaciones externos globales:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Balanceadores de cargas de red del proxy externo:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

En este punto, es posible que el estado del certificado administrado por Google siga siendo PROVISIONING. Google Cloud está trabajando con la autoridad certificadora para emitir el certificado. El aprovisionamiento de un certificado administrado por Google puede tomar hasta 60 minutos.

Paso 4: Actualiza los registros AAAA y A del DNS para que apunten a la dirección IP del balanceador de cargas

Tus registros DNS se pueden administrar en el sitio de tu registrador, host de DNS o ISP.

Cuando administres tus registros, ten en cuenta lo siguiente:

• Asegúrate de que los registros A de DNS (para IPv4) y los registros AAAA DNS (para IPv6) para tus dominios y cualquier subdominio apunten a la dirección IP asociada con la regla o las reglas de reenvío del balanceador de cargas.

  Para aprovisionar certificados SSL, asegúrate de que los registros A y AAAA apunten a la dirección IP del balanceador de cargas en un DNS público.

• Si usas Cloud DNS, configura los dominios y actualiza los servidores de nombres.

• Si tienes varios dominios en un certificado administrado por Google, agrega o actualiza registros DNS para todos los dominios y subdominios a fin de que apunten a la dirección IP del balanceador de cargas. La validación del certificado falla si los dominios y subdominios de un certificado administrado por Google apuntan a otra IP que no sea la dirección IP de la regla de reenvío del balanceador de cargas.

• Asegúrate de que tu proveedor de DNS responda de manera coherente a todas las solicitudes de validación de dominio global.

Los certificados administrados se aprovisionan de forma correcta cuando se cumplen las siguientes condiciones:

• Los registros DNS de tu dominio utilizan un registro CNAME que apunta a otro dominio.
• El otro dominio contiene un registro A o AAAA que apunta a la dirección IP del balanceador de cargas.

Para verificar tu configuración, ejecuta el comando dig. Por ejemplo, supongamos que el dominio es www.example.com. Ejecuta el siguiente comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

En este ejemplo 34.95.64.10 es la dirección IP del balanceador de cargas.

Los agentes de resolución de DNS en Internet están fuera del control deGoogle Cloud. Almacenan en caché tus conjuntos de registros de recursos según su tiempo de actividad (TTL), lo que significa que un comando dig o nslookup puede mostrar un valor almacenado en caché. Si usas Cloud DNS, consulta Propagación de cambios.

Tiempo de propagación del registro DNS

Los registros A y AAAA de DNS recién actualizados pueden tardar una cantidad de tiempo significativa en propagarse por completo. A veces, la propagación en Internet demora hasta 72 horas en todo el mundo, aunque suele tardar pocas horas.

Vuelve a ejecutar el siguiente comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Si el estado de tu dominio es FAILED_NOT_VISIBLE, es posible que la propagación no esté completa.

Para obtener información detallada, consulta la sección de estado del dominio del certificado SSL administrado por Google en la página Solución de problemas.

Validación del dominio desde múltiples perspectivas

Google Cloud renueva periódicamente tus certificados administrados por Google solicitándolos a las autoridades certificadoras (CA). Las CA con las que trabajaGoogle Cloud para renovar tus certificados usan un método de validación de dominio desde múltiples perspectivas conocido como Corroboración de emisiones desde múltiples perspectivas (MPIC). Como parte de este proceso, las autoridades de certificación verifican el control del dominio. Para ello, comprueban la configuración de DNS del dominio y tratan de comunicarse con el servidor que se encuentra detrás de la dirección IP del dominio. Estas verificaciones se realizan desde varios puntos de observación en Internet. Si el proceso de validación falla, los certificados administrados por Google no se renuevan. Como resultado, tu balanceador de cargas entrega un certificado vencido a los clientes, lo que provoca que los usuarios del navegador encuentren errores de certificado y que los clientes de la API experimenten fallas de conexión.

Para evitar errores en la validación de dominios desde múltiples perspectivas debido a registros DNS mal configurados, ten en cuenta lo siguiente:

• Tus registros A de DNS (IPv4) y AAAA de DNS (IPv6) para tus dominios y cualquier subdominio apuntan solo a la dirección IP (o direcciones) asociada con la regla (o reglas) de reenvío del balanceador de cargas. La existencia de cualquier otra dirección en el registro puede provocar que falle la validación.
• La CA, que realiza la validación de los registros DNS, consulta los registros DNS desde varias ubicaciones. Asegúrate de que tu proveedor de DNS responda de manera coherente a todas las solicitudes de validación de dominio global.
• El uso de GeoDNS (que devuelve diferentes direcciones IP según la ubicación de la solicitud) o de políticas de DNS basadas en la ubicación puede generar respuestas incoherentes y provocar que falle la validación. Si tu proveedor de DNS usa GeoDNS, inhabilítalo o asegúrate de que todas las regiones devuelvan la misma dirección IP del balanceador de cargas.
• Debes especificar de forma explícita las direcciones IP de tu balanceador de cargas en la configuración de DNS. Las capas intermedias, como una CDN, pueden provocar un comportamiento impredecible. Se debe poder acceder directamente a la dirección IP sin redireccionamientos, firewalls ni CDN en la ruta de la solicitud. Para obtener más información, consulta la sección Balanceadores de cargas detrás de una CDN en este documento.
• Te recomendamos que uses un verificador de propagación global de DNS de tu elección para verificar que todos los registros DNS pertinentes se resuelvan de forma correcta y coherente en todo el mundo.

Verifica los cambios de configuración

Después de configurar tus registros DNS, puedes verificar que sean correctos creando un certificado nuevo y conectándolo a tu balanceador de cargas junto con el certificado existente. Este paso fuerza una verificación inmediata del aprovisionamiento de certificados con la CA, lo que te permite verificar los cambios de configuración en cuestión de minutos. Sin esto, las renovaciones automáticas del certificado existente pueden tardar días o semanas, lo que genera incertidumbre sobre tu configuración.

Si el estado del certificado cambia a ACTIVE, significa que se emitió el certificado, lo que confirma que tu configuración de DNS es correcta. En este punto, te recomendamos que quites el certificado anterior para evitar tener dos certificados separados para el mismo dominio. Este proceso no interrumpe el tráfico hacia tu balanceador de cargas.

El nuevo certificado sirve como herramienta de validación. Su creación confirma que la validación de dominio con múltiples perspectivas a través de MPIC funciona correctamente en tu configuración.

Balanceadores de cargas detrás de una CDN

En el caso de los balanceadores de cargas que tienen habilitada la CDN, es posible que algunos proveedores de CDN de terceros en la ruta de la solicitud impidan que las solicitudes de validación se realicen con éxito. Esto puede ocurrir si el proveedor de CDN programa el tráfico HTTP(S) de forma activa con proxy.

En esos casos, te recomendamos que migres tus certificados a Certificate Manager y que uses el método de autorización de DNS para aprovisionar certificados administrados por Google. Este último enfoque no requiere que la CA se comunique con tu balanceador de cargas.

Paso 5: Prueba con OpenSSL

Una vez que los estados del certificado y del dominio estén activos, pueden pasar hasta 30 minutos hasta que el balanceador de cargas comience a usar el certificado SSL administrado por Google.

Para probar, ejecuta el siguiente comando de OpenSSL y reemplaza DOMAIN por el nombre del DNS y IP_ADDRESS por la dirección IP del balanceador de cargas.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Este comando da como resultado los certificados que el balanceador de cargas presenta al cliente. Junto con otra información detallada, el resultado debe incluir la cadena de certificados y Verify return code: 0 (ok).

Procedimientos adicionales

En esta sección, se incluyen procedimientos adicionales para administrar tus certificados.

Admite múltiples dominios con un certificado SSL administrado por Google

Se admiten varios nombres alternativos de entidad. Cada certificado SSL administrado por Google admite hasta la cantidad máxima de dominios por certificado SSL administrado por Google.

Si tienes más de la cantidad máxima de dominios, debes solicitar varios certificados administrados por Google. Por ejemplo, si intentas crear un certificado administrado por Google con (la cantidad máxima + 1) dominios, Google no emite ningún certificado. En cambio, debes crear dos o más certificados administrados por Google y especificar de forma explícita qué dominios están asociados con cada certificado.

Google Cloud implementa la indicación del nombre del servidor (SNI), como se define en RFC 6066.

Para asegurarte de que tus certificados no fallen en el paso de validación del dominio del proceso de renovación, revisa los requisitos para tus registros A y AAAA de DNS.

No puedes modificar la lista de nombres de dominio en un certificado SSL administrado por Google existente. Si necesitas agregar o quitar un dominio, debes crear un certificado nuevo que incluya todos los dominios que deseas proteger y, luego, usar el proceso de reemplazo que se describe en este documento.

Renueva un certificado SSL administrado por Google

Google Cloud aprovisiona certificados administrados con una validez de 90 días. Alrededor de un mes antes del vencimiento, el proceso para renovar el certificado comienza de forma automática. Para ello, se elige una autoridad certificadora (CA) que esté en el registro DNS de la autorización de autoridad certificadora de tu dominio (CAA) y en la lista de CA.

La CA que se usa en la renovación puede ser no ser la misma que se usó para emitir una versión anterior del certificado administrado por Google. Puedes controlar la CA que usaGoogle Cloud para la renovación si te aseguras de que el registro DNS de la CAA de tu dominio especifique una sola CA de la lista de CA que usan los certificados administrados por Google.

Para asegurarte de que tus certificados no fallen en el paso de validación del dominio del proceso de renovación, revisa los requisitos para tus registros A y AAAA de DNS.

Especifica las CA que pueden emitir tu certificado administrado por Google

En tu software DNS, te recomendamos autorizar de manera explícita las CA que quieres permitir que emitan el certificado administrado por Google. Si bien no es obligatorio en todas las situaciones, es necesario en ciertas situaciones.

Por ejemplo, si usas un servicio de DNS externo y se revoca el certificado administrado por Google, el servicio solo podría validar un certificado nuevo emitido por una o más CA específicas.

Para ello, crea o modifica un registro de CAA a fin de incluir pki.goog, letsencrypt.org o ambos. Si no tienes un registro de CAA, el comportamiento predeterminado es permitir pki.goog y letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

La compatibilidad con los certificados de letsencrypt.org se proporciona en función del mejor esfuerzo. Para obtener la mejor confiabilidad, permite pki.goog y letsencrypt.org. Si especificas solo una de las CA, esa será la única que se usará para crear y renovar el certificado: No se recomienda optar por ese método.

Cuando creas un certificado por primera vez, Google Cloud selecciona pki.goog o letsencrypt.org, y lo usa para emitir el certificado. Cuando Google renueva el certificado, la otra CA puede emitirlo, según las CA que hayas especificado en el registro de CAA (si creaste uno). Es posible que el certificado se renueve con una CA diferente en cualquiera de los siguientes casos:

• No tienes un registro DNS de CAA para el dominio.
• Incluiste ambas CA en el registro DNS de CAA.

Para obtener más información, consulta el RFC, Registro DNS de CAA.

letsencrypt.org emite nombres de dominio internacionalizados (IDN). pki.goog actualmente no es compatible con los IDN.

Si usas Cloud DNS, obtén información sobre cómo agregar un registro y asegúrate de establecer la marca --type en CAA.

Reemplaza un certificado SSL existente

Para reemplazar un certificado SSL existente, sigue estos pasos:

1. Inicia el proceso de creación del certificado SSL administrado por Google de reemplazo. Este certificado no se vuelve ACTIVO en este momento.

2. Actualiza el proxy de destino para que la lista de certificados de referencia incluya el certificado SSL de reemplazo junto con los certificados SSL actuales. Los pasos para actualizar el proxy de destino varían, como se indica en los siguientes vínculos:

   • Actualiza un proxy HTTPS de destino
   • Actualiza un proxy SSL de destino

3. Espera a que se complete el aprovisionamiento del certificado SSL. Este proceso puede llevar hasta 60 minutos. Cuando se completa el aprovisionamiento, el estado del certificado se convierte en ACTIVE.

4. Espera 30 minutos más a fin de asegurarte de que el certificado de reemplazo esté disponible para todos los Google Front Ends (GFE).

5. Actualiza el proxy de destino para quitar el certificado SSL que deseas reemplazar de la lista de certificados de referencia. Los pasos para actualizar el proxy de destino varían, como se indica en los siguientes vínculos:

   • Actualiza un proxy HTTPS de destino
   • Actualiza un proxy SSL de destino

6. Espera 10 minutos y confirma que el balanceador de cargas use el certificado SSL de reemplazo en lugar del anterior.

7. Vuelve a actualizar el proxy de destino y quita el recurso del certificado SSL anterior. Puedes borrar el recurso del certificado SSL si ningún proxy de destino hace referencia a él.

Si no borras el certificado SSL anterior, permanecerá activo hasta que venza.

Cambia de certificados SSL autoadministrados a certificados SSL administrados por Google

Cuando haces que un balanceador de cargas deje de usar certificados SSL autoadministrados y comience a usar certificados SSL administrados por Google, debes realizar los siguientes pasos en esta secuencia:

1. Crea un nuevo certificado administrado por Google.
2. Asocia un nuevo certificado administrado por Google con el proxy de destino correcto mientras se mantiene la asociación del proxy de destino con el certificado autoadministrado existente.
3. Espera hasta que el estado del certificado administrado por Google sea ACTIVE.
4. Espera 30 minutos para permitir que el nuevo certificado se propague a los Google Front Ends (GFE) a cargo de la entrega.
5. Vuelve a actualizar el proxy de destino y quita el recurso del certificado autoadministrado. Puedes borrar el recurso del certificado SSL autoadministrado si ningún proxy de destino hace referencia a él.

Borrar un certificado SSL

Antes de borrar un certificado SSL, asegúrate de que ningún proxy de destino SSL o HTTPS haga referencia a este certificado. Puedes hacerlo de dos maneras:

• Borra los proxies de destino que hacen referencia a este certificado.

• Actualiza los proxies de destino que hacen referencia a este certificado a fin de excluirlo. Los pasos varían, como se indica en los siguientes vínculos:

  • Actualiza un proxy de destino HTTPS.
  • Actualiza un proxy de destino SSL.

Para borrar uno o más certificados SSL, sigue estos pasos:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

¿Qué sigue?

• Para solucionar problemas de certificados SSL, consulta Soluciona problemas con los certificados SSL.
• Si quieres usar una secuencia de comandos de Terraform que crea un certificado administrado por Google, consulta el ejemplo de Cloud Run en la página Ejemplos de módulos de Terraform para balanceadores de cargas de aplicaciones externos.