Descripción general de los certificados SSL

La seguridad de la capa de transporte (TLS) se usa para encriptar información mientras se envía a través de una red, lo que proporciona privacidad entre un cliente y un servidor o un balanceador de cargas. Los balanceadores de cargas del proxy de Google Cloud cuyas reglas de reenvío hacen referencia a un proxy HTTPS o SSL de destino requieren una clave privada y un certificado SSL como parte de la configuración del proxy de destino del balanceador de cargas.

Métodos de configuración de certificados

Google Cloud ofrece dos métodos que permiten configurar certificados SSL para los balanceadores de cargas HTTP(S) y de proxy SSL. Ambos métodos admiten certificados SSL autoadministrados y administrados por Google.

  • Recurso de certificado SSL de Compute Engine: con este método, el proxy de destino para un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico, un balanceador de cargas de red del proxy externo, un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno está configurado para hacer referencia a un recurso de certificado SSL de Compute Engine. El recurso de certificado SSL contiene la clave privada, el certificado correspondiente y, de forma opcional, los certificados de la AC. Este método es compatible con todos los niveles de servicio de red que admite el balanceador de cargas.

  • Administrador de certificados: Con este método, el proxy de destino para un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones clásico o un balanceador de cargas de red del proxy externo se configura para hacer referencia a un Mapa de certificados. El mapa de certificados contiene una o más entradas de certificado. Cada entrada de certificado hace referencia a un solo recurso de certificado del administrador de certificados, y cada recurso de certificado contiene una clave privada y un certificado. Con el Administrador de certificados, un proxy HTTPS o SSL de destino pueden hacer referencia a un mapa de certificados con miles de entradas de certificados SSL. Este método solo está disponible cuando el balanceador de cargas usa el nivel de servicio de red Premium.

    Para los balanceadores de cargas de aplicaciones internos entre regiones, los balanceadores de cargas de aplicaciones internos regionales y los balanceadores de cargas de aplicaciones externos regionales, los certificados del Administrador de certificados están conectados al proxy de destino. No se admiten mapas de certificados.

    Para obtener más información, consulta la siguiente documentación:

Tipos de certificados

Puedes crear tus propios certificados o Google puede administrarlos por ti:

  • Los certificados SSL autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo. Los certificados autoadministrados pueden ser de cualquiera de estos tipos de certificado de clave pública:

    • Validación de dominio (DV)
    • Validación de organización (OV)
    • Validación extendida (EV)

    Para obtener más información sobre los certificados SSL autoadministrador de Compute Engine, consulta Usa certificados SSL autoadministrados.

    Para obtener más información sobre los certificados SSL autoadministrados y el Administrador de certificados, consulta Sube un certificado autoadministrado en la documentación del Administrador de certificados o Implementa un certificado autoadministrado para revisar un instructivo de extremo a extremo.

  • Los certificados SSL administrados por Google son certificados que Google Cloud obtiene, administra y renueva de manera automática. Los certificados administrados por Google son siempre certificados de validación de dominio (DV). No demuestran la identidad de una organización o de un individuo asociados con el certificado, y no admiten nombres comunes comodín.

    Para obtener más información sobre los certificados SSL de Compute Engine administrados por Google, consulta Usa certificados SSL administrados por Google.

    El Administrador de certificados admite certificados SSL administrados por Google mediante la autorización del balanceador de cargas, la autorización de DNS y la integración en un Certificate Authority Service. Para obtener más información sobre el Administrador de certificados SSL administrados por Google, consulta Descripción general de la implementación en la documentación del Administrador de certificados.

Certificados y balanceadores de cargas de Google Cloud

En la siguiente tabla, se muestra qué balanceadores de cargas de Google Cloud admiten certificados SSL autoadministrados de Compute Engine, certificados SSL de Compute Engine administrados por Google o ambos.

Compatibilidad con el certificado SSL de Compute Engine
Balanceador de cargas Administración automática Administradas por Google
Balanceador de cargas de aplicaciones externo global *
sslCertificates

sslCertificates
Balanceador de cargas de aplicaciones clásico *
sslCertificates

sslCertificates
Balanceador de cargas de aplicaciones externo regional
regionSslCertificates
Balanceador de cargas de aplicaciones interno regional
regionSslCertificates
Balanceador de cargas de aplicaciones interno entre regiones *
Balanceador de cargas de red del proxy externo (con proxy SSL)
sslCertificates

sslCertificates

* El balanceador de cargas de aplicaciones externo global, el balanceador de cargas de aplicaciones interno entre regiones y el balanceador de cargas de aplicaciones clásico usan proxies HTTPS de destino global, incluso cuando un balanceador de cargas de aplicaciones clásico usa el nivel Estándar.

El balanceador de cargas de aplicaciones externo regional y el balanceador de cargas de aplicaciones interno usan proxies HTTPS de destino regionales.

El balanceador de cargas de red del proxy externo usa proxies SSL de destino global, incluso en el nivel Estándar.

En la siguiente tabla, se muestra qué balanceadores de cargas de Google Cloud admiten certificados autoadministrados o administrados por Google, o ambos del Administrador de certificados.

Balanceador de cargas Certificado administrado por Google Certificado autoadministrado
Autorización de DNS Autorización del balanceador de cargas Certificate Authority Service (Servicio de CA)
Balanceador de cargas de aplicaciones externo global
info

info

info

info
Balanceador de cargas de aplicaciones clásico
info

info

info

info
Balanceador de cargas de red del proxy externo global
info

info

info

info
Balanceador de cargas de aplicaciones interno entre regiones
info

info

info
Balanceador de cargas de aplicaciones externo regional
info

info

info
Balanceador de cargas de aplicaciones interno regional
info

info

info

Múltiples certificados SSL

Puedes usar el mismo proxy HTTPS de destino o proxy SSL de destino para alojar varios certificados, lo que es común cuando el balanceador de cargas admite varios nombres de dominio. Puedes configurar una sola regla de reenvío (una sola dirección IP y un solo puerto) para hacer referencia a un proxy de destino común, o puedes configurar varias reglas de reenvío (diferentes direcciones IP y puertos) para hacer referencia a un proxy de destino común.

Varios recursos de certificados SSL de Compute Engine

Cuando usas los recursos de certificado SSL de Compute Engine, cada recurso de proxy de destino puede hacer referencia hasta a una cantidad máxima de certificados SSL por cada configuración HTTPS o proxy SSL de destino. Para obtener más información, consulta Grupos de destino y proxies de destino en la documentación de límites y cuotas del balanceo de cargas.

El primer recurso de certificado SSL de Compute Engine al que hace referencia el proxy de destino de un balanceador de cargas se considera el certificado predeterminado (principal) para el balanceador de cargas.

Varios certificados SSL con el Administrador de certificados

Cuando se usa el Administrador de certificados con un mapa de certificados en un balanceador de cargas, cada recurso de proxy de destino hace referencia a un solo mapa de certificados. Un mapa de certificados hace referencia a una o más entradas de certificado, y puedes configurar la entrada de certificado que será el certificado predeterminado (principal) del mapa. La cantidad de mapas, entradas y certificados del Administrador de certificados son cuotas configurables por proyecto. Para obtener más información, consulta Cuotas de recursos en la documentación del Administrador de certificados.

Si usas un balanceador de cargas que admite el administrador de certificados y necesitas alojar más de unos pocos certificados SSL por proxy de destino, asegúrate de usar el administrador de certificados en lugar de los recursos de certificado SSL de Compute Engine.

Método de selección de certificado

Después de que un cliente se conecta a un balanceador de cargas HTTP(S) o de proxy SSL, el cliente y el balanceador de cargas negocian una sesión de TLS. Durante la negociación de sesión de TLS, el cliente envía al balanceador de cargas una lista de algoritmos de cifrado de TLS que admite (en ClientHello). El balanceador de cargas selecciona un certificado cuyo algoritmo de clave pública sea compatible con el cliente. El cliente también puede enviar un nombre de host de indicación del nombre del servidor (SNI) al balanceador de cargas como parte de esta negociación. Los datos de nombre de host de SNI a veces se usan para ayudar al balanceador de cargas a elegir qué certificado debe enviar al cliente.

Puedes modelar el proceso que usan los balanceadores de cargas de proxy de Google Cloud para seleccionar un certificado y enviarlo a un cliente de la siguiente manera. En tu modelo, comienza con todos los certificados SSL que se configuraron en el proxy HTTPS o SSL de destino, sin importar el método de configuración.

  1. El balanceador de cargas selecciona un solo candidato de certificado:

    • Si el proxy de destino del balanceador de cargas hace referencia solo a un recurso de certificado SSL de Compute Engine o a un mapa del administrador de certificados con una sola entrada de certificado, usa ese único certificado configurado como candidato. El valor del nombre de host de SNI (si se proporciona) no influye en el balanceador de cargas. Continúa con el paso 2.

    • Si el proxy de destino del balanceador de cargas hace referencia a dos o más recursos de certificado SSL de Compute Engine o a un mapa del administrador de certificados con dos o más entradas de certificado, usa el siguiente proceso para seleccionar un único candidato de certificado:

      • Si el cliente no envía ningún nombre de host de SNI en su ClientHello, el balanceador de cargas usa el certificado SSL predeterminado (principal) como candidato de certificado. Continúa con el paso 2.

      • Si el cliente envía un nombre de host de SNI que no coincide con ningún nombre común de certificado (CN) y no coincide con ningún nombre de sujeto alternativo de certificado (SAN), el balanceador de cargas usa el certificado SSL predeterminado (principal) como el candidato de certificado. Continúa con el paso 2.

      • El balanceador de cargas selecciona un candidato de certificado que coincida con el nombre de host de SNI que envió el cliente. La coincidencia se aplica mediante el prefijo más largo en relación con los atributos de nombre común (CN) y de nombre de sujeto alternativo (SAN), con preferencia para los certificados de ECDSA en lugar de los RSA. Para ilustrar el método de coincidencia, considera un proxy de destino que haga referencia a un certificado cuyo CN sea cats.pets.example.com y otro con un CN que sea dogs.pets.example.com. Además de incluir cada valor de CN en sus SAN, cada certificado incluye *.pets.example.com y *.example.com en estos.

        • Si el nombre de host de SNI proporcionado es cats.pets.example.com, el balanceador de cargas usa el certificado cuyo CN es cats.pets.example.com como candidato del certificado. Continúa con el paso 2.
        • Si el nombre de host de SNI proporcionado es ferrets.pets.example.com, el balanceador de cargas usa uno de los dos certificados como candidato, ya que ambos certificados configurados tienen SAN que incluyen *.pets.example.com. No puedes controlar cuál de los dos certificados se convierte en el candidato de certificado en esta situación. Continúa con el paso 2.
  2. El candidato se envía al cliente si usa un algoritmo de clave pública compatible con uno de los algoritmos de cifrado declarados en el cliente.

    • La negociación de TLS puede fallar si el cliente no admite un conjunto de algoritmos de cifrado que incluya el algoritmo de clave pública (ECDSA o RSA) del certificado.
    • El balanceador de cargas no usa los atributos notValidBefore y notValidAfter del certificado como parte del método de selección de candidatos. Por ejemplo, el balanceador de cargas puede entregar un certificado vencido si se seleccionó el certificado vencido como candidato.

Precios

Generas cargos por las herramientas de redes cuando usas balanceadores de cargas de Google Cloud. Para obtener más información, consulta Todos los precios de herramientas de redes. Para obtener más información sobre los precios del administrador de certificados, consulta Precios en la documentación del administrador de certificados. No se aplican cargos adicionales por usar recursos de certificados SSL de Compute Engine.

¿Qué sigue?

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis