Crea y usa certificados SSL

Para usar balanceo de cargas HTTPS o SSL, debes asociar, al menos, un certificado SSL al proxy de destino del balanceador de cargas. Puedes configurar el proxy de destino con hasta 15 certificados SSL. Para cada certificado SSL, primero debes crear un recurso de certificado SSL. Este contiene la información del certificado SSL.

Tus certificados SSL pueden ser certificados que obtienes y administras (certificados autoadministrados ) o certificados que Google obtiene y administra por ti (certificados administrados por Google).

Los recursos del certificado SSL solo se usan con proxy HTTPS de destino y balanceadores de cargas del proxy SSL de destino. Consulta su documentación para saber cuándo y cómo usar los recursos de certificado SSL.

Los certificados SAN son compatibles con el balanceo de cargas HTTPS.

Usa varios certificados SSL

Puedes configurar el proxy de destino de tu balanceador de cargas de proxy HTTPS o SSL con hasta 15 certificados SSL. Estos pueden ser cualquier combinación de certificados SSL autoadministrados y administrados por Google. Usa varios certificados SSL cuando entregues desde varios dominios con la misma dirección IP y puerto de balanceador de cargas, y usa un certificado SSL diferente para cada dominio. Google Cloud Platform implementa la indicación de nombre del servidor (SNI), como se define en RFC 6066 para este fin.

Los certificados SSL se usan con los recursos proxy HTTPS de destino (TargetHttpsProxy) y proxy SSL de destino (TargetSslProxy). Debes especificar, al menos, un certificado SSL para cada uno de estos recursos y puedes especificar hasta 15. Cuando especificas más de uno, el primer certificado de la lista de certificados SSL se considera el certificado SSL principal asociado al balanceador de cargas.

Cuando un cliente envía una solicitud, el balanceador de cargas usa el nombre de host SNI que especifica el cliente a fin de seleccionar el certificado que se usará en la negociación de la conexión SSL del cliente. Siempre que sea posible, el balanceador de cargas seleccionará un certificado cuyo nombre común (CN) o nombre alternativo del sujeto (SAN) coincida con el nombre de host SNI que especificó el cliente y que es compatible con la capacidad del cliente de usar RSA o ECDSA para firmas digitales. Si no se puede seleccionar ninguno de los certificados disponibles o si el cliente no especifica un nombre de host SNI, el balanceador de cargas negociará la SSL con el certificado principal, que es el primero de la lista.

Varios certificados SSL (haz clic para ampliar)
Varios certificados SSL (haz clic para ampliar)

Comodines en nombres comunes

Los certificados SSL autoadministrados pueden usar un comodín en el nombre común. Por ejemplo, un certificado con el nombre común *.example.com. coincide con los nombres de host www.example.com y foo.example.com, pero no con a.b.example.com ni example.com. Cuando el balanceador de cargas selecciona un certificado, siempre prefiere hacer coincidir un nombre de host con certificados sin comodines, en vez de certificados con comodines.

Los certificados con fragmentos de comodín, como f*.example.com, no son compatibles.

Los certificados SSL administrados por Google no son compatibles con los comodines.

Ejemplo de varios certificados SSL

Este es un ejemplo de cómo funcionan varios certificados SSL con el balanceo de cargas HTTPS. En el ejemplo, suponemos que tienes tres nombres de host y tres certificados SSL.

Cómo funcionan varios certificados SSL con el balanceo de cargas HTTPS (haz clic para ampliar)
Cómo funcionan varios certificados SSL con el balanceo de cargas HTTPS (haz clic para ampliar)

Los nombres de host son los que se muestran a continuación:

  • www.example.com
  • www.example.org
  • www.example.net

Supongamos que entregas el contenido de www.example.com, www.example.org y www.example.net con el balanceador de cargas HTTPS a la dirección IP 203.0.113.1. Lo que necesitas hacer es configurar los certificados SSL a fin de que el balanceador de cargas use cert-1 con www.example.com, cert-2 con www.example.org y cert-3 con www.example.net. También necesitas que el balanceador de cargas use cert-1 cuando los clientes no usen SNI o cuando el nombre del servidor que proporcionó el cliente no coincide con ninguno de los certificados disponibles. Cualquier certificado que designes para que se use cuando no existe ninguna coincidencia de certificado es un certificado de resguardo.

Los certificados SSL son cert-1, cert-2 y cert-3. El certificado SSL cert-1 es el certificado principal. Cuando creas los certificados, debes asociar cada uno de ellos a un nombre de host. En este ejemplo, el resultado es el que se muestra a continuación:

  • cert-1:www.example.com
  • cert-2:www.ejemplo.org
  • cert-3:www.example.net

Si el cliente usa SNI para proporcionar un nombre de host durante el protocolo de enlace TLS (SSL), el balanceador de cargas usará el certificado asociado a ese nombre de host. Por ejemplo, como se muestra en la ilustración anterior, cuando el cliente del usuario-2 proporciona www.example.org como el nombre de host SNI durante el protocolo de enlace TLS, el balanceador de cargas entrega el cert-2. Si el cliente de un usuario no proporciona un nombre de host SNI o proporciona uno que no coincide con ninguno de los certificados del balanceador de cargas, este usará el certificado principal, que es cert-1.

Cuando usas el certificado principal como resguardo para clientes que no admiten SNI o cuando el nombre del servidor que proporciona el cliente no coincide con ninguno de los certificados disponibles, por lo general, el cliente informa los errores de validación de certificados cuando ocurre el resguardo. Esto es preferible a que falle el protocolo de enlace en el lado del servidor, ya que así se facilita la depuración. Sin embargo, si bien los usuarios pueden ignorar las advertencias del certificado, entregar las solicitudes con un certificado de resguardo de forma intencional es una práctica de seguridad deficiente.

Certificados SSL autoadministrados y administrados por Google

Existen dos tipos de certificados SSL disponibles:

  • Certificados SSL autoadministrados, que son certificados que obtienes, aprovisionas y renuevas tú mismo.

  • Certificados SSL administrados por Google, que son certificados que Google Cloud Platform obtiene y administra para tu dominio y los renueva de forma automática.

Los certificados SSL administrados por Google son solo certificados de Validación de dominio (DV) y no demuestran la identidad de una organización ni el individuo asociado al certificado. Los certificados autoadministrados pueden ser cualquiera de los certificados de Validación de dominio (DV), Validación de organización (OV) o Validación extendida (EV). Si quieres obtener más información sobre los certificados de Validación de dominio, Validación de organización y Validación extendida, consulta el Certificado de clave pública.

Los certificados SSL administrados por Google solo admiten un solo nombre de dominio por certificado. No admiten nombres comunes de comodín ni varios nombres alternativos de sujeto.

Puedes tener cualquier combinación de certificados SSL administrados por Google y autoadministrados en un proxy de destino, y los certificados pueden estar en cualquier orden en el proxy de destino.

Puede usar certificados administrados por Google con o sin Cloud CDN habilitado.

Trabaja con certificados SSL autoadministrados

En esta sección, se usa el programa de línea de comandos de openssl, que viene con la mayoría de los sistemas, entre estos, Linux, BSD y Mac OS X, para generar claves privadas y públicas, y una solicitud de firma de certificado (CSR).

Obtén una clave privada y un certificado firmado

Necesitarás una clave privada sin encriptar y un certificado generado con esa clave. Si ya tienes una clave privada y un certificado de una autoridad certificada, puedes seguir con la sección sobre cómo crear un recurso de certificado SSL. De lo contrario, puedes crear una clave privada nueva y generar un certificado autofirmado que se puede usar para crear un recurso de certificado SSL.

Si quieres crear una clave privada nueva, primero debes crear una carpeta nueva a fin de almacenar tu clave y certificado y, luego, usar openssl para generar la clave. Consulta la página del manual de openssl-genrsa para obtener información sobre las opciones del comando.

$ mkdir ssl_cert
$ cd ssl_cert
$ openssl genrsa -out example.key 2048

En este ejemplo, se usa la encriptación RSA-2048. Por el momento, solo se admite la encriptación RSA-2048 y ECDSA P-256.

Si quieres generar un certificado firmado, necesitas una CSR. Ejecuta el comando siguiente para crear uno. Consulta la página del manual de openssl-req para obtener información sobre las opciones de comando.

$ openssl req -new -key example.key -out example.csr

Puedes usar tu CSR nueva para obtener un certificado válido de una autoridad certificada. Como alternativa, puedes generar un certificado autofirmado si ejecutas el comando siguiente. Consulta la página del manual de openssl-x509 a fin de obtener información sobre las opciones del comando.

$ openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt

Crea un recurso de certificado SSL a partir de archivos de certificado existentes

Puedes crear un recurso de certificado SSL a partir de archivos de certificados existentes con Google Cloud Platform Console o mediante la ejecución de un comando de gcloud. Debes tener un certificado para poder crear un recurso de certificado.

Google Cloud Platform solo valida que todos los certificados de una cadena tengan una codificación PEM válida. Sin embargo, no valida si todos los certificados están encadenados de manera legítima. Es tu responsabilidad proporcionar cadenas de certificados válidas.

Si configuras un balanceador de cargas con varios certificados SSL, asegúrate de crear un recurso de certificado SSL para cada certificado.

Console


En Google Cloud Platform Console, debes crear un recurso de certificado SSL nuevo cuando creas o editas un frontend para un balanceador de cargas proxy HTTPS o SSL.

Si quieres crear un recurso de certificado SSL nuevo para un frontend, sigue estos pasos:

  1. Ve a la página Balanceo de cargas de Google Cloud Platform Console.
    Ir a la página Balanceo de cargas
  2. Haz clic en el nombre de un balanceador de cargas proxy HTTPS o SSL.
  3. Haz clic en el lápiz Editar.
  4. Selecciona Configuración de frontend.
    1. En el caso de un frontend existente, haz clic en el lápiz Editar de ese frontend. En el menú desplegable Certificado, selecciona el certificado visible y haz clic en Crear un certificado nuevo.
    2. Para un frontend nuevo, en el menú desplegable Certificado, haz clic en Seleccionar un certificado y, luego, en Crear un certificado nuevo.
  5. En el cuadro de diálogo Crear un certificado nuevo, ingresa un Nombre para tu recurso de certificado y, de manera opcional, haz clic en Agregar una descripción. A continuación, ingresa una descripción.
  6. Elige Subir mi certificado.
  7. En el campo Certificado de clave pública, haz clic en el botón Subir para subir tu archivo .crt o pegar todo el contenido de tu archivo .key en el campo, incluido -----BEGIN CERTIFICATE----- y -----END CERTIFICATE----- que abarcan el contenido del archivo.
  8. En el campo Cadena de certificados, haz clic en el botón Subir para subir tu archivo .csr o pegar todo el contenido del archivo .csr en el campo, incluido -----BEGIN CERTIFICATE REQUEST----- y -----END CERTIFICATE REQUEST----- que abarcan el contenido del archivo.
  9. En el campo Certificado de clave privada, haz clic en el botón Subir para subir tu clave privada con el archivo .key generado antes. Este archivo usa, por ejemplo, -----BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY----- para incluir el contenido del archivo.
  10. Haz clic en Crear.
  11. Si quieres crear certificados adicionales, haz clic en el vínculo certificados adicionales, luego en Seleccionar un certificado y, a continuación, en Crear un certificado nuevo. Sigue los pasos anteriores para subir o pegar en los archivos adecuados.

gcloud


Para crear un certificado SSL con la herramienta de línea de comandos de gcloud, usa este comando:

gcloud compute ssl-certificates create [SSL_CERTIFICATE] \
    --certificate [CRT_FILE_PATH] \
    --private-key [KEY_FILE_PATH]
  • [SSL_CERTIFICATE]: es el nombre que quieres otorgar al recurso del certificado.

  • [CRT_FILE_PATH]: es la ruta de acceso y el nombre de archivo de tu archivo de certificado (archivo .crt).

  • [KEY_FILE_PATH]: es la ruta de acceso y el nombre de archivo de tu archivo de claves (archivo .key).

Trabaja con certificados SSL administrados por Google

En esta sección, se explica cómo crear y usar certificados SSL administrados por Google.

Los certificados SSL administrados por Google son certificados que Google Cloud Platform obtiene y administra para tu dominio. Estos son certificados de Validación de dominio (DV) que admiten un solo nombre de host por certificado. Para obtener más información, consulta los tipos de certificados SSL.

También puedes usar certificados SSL administrados con GKE. Si quieres obtener más información sobre cómo implementarlos, consulta la sección sobre cómo usar certificados SSL administrados por Google.

Configura un balanceador de cargas con certificados SSL administrados por Google

El proceso general para la creación de un balanceador de cargas con certificados SSL administrados por Google con la herramienta de línea de comandos de gcloud es el siguiente. La mayoría de estos pasos se realizan en el sitio de Google Cloud Platform, pero el paso 5 debe realizarse en el sitio de tu registrador de dominios.

  1. Crea un recurso de certificado SSL administrado por Google para tu dominio en función de las instrucciones en Crea un recurso de certificado SSL administrado por Google
  2. Crea el balanceador de cargas proxy HTTPS o SSL. Si quieres obtener instrucciones para crear un balanceador de cargas HTTPS, consulta la sección configuración del balanceo de cargas HTTP(S) y creación de un balanceador de cargas HTTP(S). Si quieres obtener instrucciones a fin de crear un balanceador de cargas proxy SSL, consulta Configura el proxy SSL para Google Cloud Load Balancing.
  3. Crea un proxy HTTPS o SSL de destino que haga referencia al recurso de certificado SSL administrado por Google. Si quieres obtener más detalles sobre los proxies de destino, consulta la sección proxies de destino o configuración del proxy SSL para el balanceo de cargas de Google Cloud. Cuando creas el proxy de destino, debes hacer referencia al recurso del certificado SSL administrado por Google que creaste.
  4. Crea una o más reglas de reenvío para el proxy de destino en el puerto 443. Si quieres obtener más detalles sobre las reglas de reenvío, consulta Conceptos de reglas de reenvío.
  5. En el sitio de tu registrador, host de DNS o ISP (donde sea que se administren tus registros DNS), debes agregar o actualizar el registro DNS de tu dominio para que apunte a la dirección IP asociada a la regla o a las reglas de reenvío que acabas de crear.
  6. Agrega los registros de Autorización de autoridad certificada (CAA) siguientes que especifican qué autoridades certificadas pueden emitir certificados para tu dominio:
    your_domain. CAA 0 issue "letsencrypt.org"
    your_domain. CAA 0 issue "pki.goog"
    
  7. Espera a que el recurso del certificado SSL tenga el estado ACTIVO. Consulta el estado de los recursos de certificados SSL administrados por Google para obtener más información.

También puedes crear certificados SSL administrados por Google cuando creas un balanceador de cargas con Google Cloud Platform Console.

Para que se emita el certificado administrado por Google y el estado del recurso se vuelva ACTIVO, debes tener una configuración de balanceador de cargas que incluya un proxy de destino y una regla de reenvío. La regla debe hacer referencia al recurso del certificado y a una configuración de DNS que resuelva el nombre de host de tu dominio a la dirección IP de la regla de reenvío. Para obtener más información, consulta el estado de los recursos del certificado SSL administrado por Google.

Migra un balanceador de cargas con el uso de certificados SSL autoadministrados a certificados SSL administrados por Google

Cuando migras un balanceador de cargas con certificados SSL autoadministrados a certificados SSL administrados por Google, no debes borrar ningún certificado SSL autoadministrado antes de que los certificados SSL administrados por Google se activen. Una vez que los certificados SSL administrados por Google se aprovisionan de forma correcta, estos se activan de forma automática. Cuando los certificados SSL administrados por Google están activos, puedes borrar tus certificados SSL autoadministrados.

Usa estas instrucciones para migrar desde los certificados autoadministrados hasta los SSL administrados por Google.

  1. Crea el recurso del certificado administrado por Google.
  2. Asocia el recurso del certificado administrado por Google al proxy de destino correcto, mientras mantienes el recurso del certificado autoadministrado existente en la lista de proxy de destino.
  3. Espera hasta que el estado del recurso del certificado administrado por Google esté ACTIVO.
  4. Cuando el estado sea ACTIVO, actualiza el proxy de destino para quitar el recurso del certificado autoadministrado de su lista de certificados.

Renovación del certificado SSL administrado por Google

Los certificados SSL administrados por Google se renuevan de forma automática antes de su fecha de vencimiento. Para obtener más información sobre el proceso de renovación, consulta el estado de los recursos de certificados SSL administrados por Google.

Crea un recurso de certificado SSL administrado por Google

Console


En Google Cloud Platform Console, debes crear un recurso de certificado SSL nuevo cuando creas o editas un frontend para un balanceador de cargas proxy HTTPS o SSL.

Si quieres crear un recurso de certificado SSL nuevo para un frontend, sigue estos pasos:

  1. Ve a la página Balanceo de cargas de Google Cloud Platform Console.
    Ir a la página Balanceo de cargas
  2. Haz clic en el nombre de un balanceador de cargas proxy HTTPS o SSL.
  3. Haz clic en el lápiz Editar.
  4. Selecciona Configuración de frontend.
    1. En el caso de un frontend existente, haz clic en el lápiz Editar de ese frontend. En el menú desplegable Certificado, selecciona el certificado visible y haz clic en Crear un certificado nuevo.
    2. Para un frontend nuevo, en el menú desplegable Certificado, haz clic en Seleccionar un certificado y, luego, en Crear un certificado nuevo.
  5. En el cuadro de diálogo Crear un certificado nuevo, ingresa un Nombre para tu recurso de certificado y, de manera opcional, haz clic en Agregar una descripción. A continuación, ingresa una descripción.
  6. Elige Crear certificado administrado por Google.
  7. Ingresa los Dominios correctos.
  8. Haz clic en Crear.
  9. Si quieres crear certificados adicionales, haz clic en el vínculo certificados adicionales, luego en Seleccionar un certificado y, a continuación, en Crear un certificado nuevo. Sigue los pasos anteriores para subir o pegar en los archivos adecuados.

gcloud


Usa el comando siguiente de gcloud para crear un recurso de certificado SSL administrado por Google:

gcloud beta compute ssl-certificates create [SSL_CERTIFICATE_NAME] \
    --domains [DOMAIN] --description [DESCRIPTION]

Asocia un certificado SSL administrado por Google a un proxy de destino

Si quieres asociar un recurso de certificado SSL administrado por Google a un proxy de destino, debes usar las instrucciones que aparecen en asocia recursos de certificado SSL a un proxy de destino, que se aplican tanto a los certificados SSL autoadministrados como a los administrados por Google.

Estado del recurso del certificado SSL administrado por Google

En esta sección, se explica el campo status del recurso del certificado SSL que puede usar para supervisar y resolver problemas con el aprovisionamiento de certificados.

El valor del campo status de un recurso de certificado SSL administrado por Google cambia durante el aprovisionamiento y puede indicar fallas en el aprovisionamiento o la renovación.

Para determinar el valor del campo status, usa el comando siguiente:

gcloud beta compute ssl-certificates list

Verás un resultado similar a este:

NAME               TYPE          CREATION_TIMESTAMP             EXPIRE_TIME              MANAGED_STATUS
managed-cert       MANAGED       2018-08-10T08:44:30.220-07:00  2018-11-08T06:50:19.000-08:00  ACTIVE
    example.com: ACTIVE
self-managed-cer  SELF_MANAGED  2018-03-08T05:11:20.170-08:00  2019-03-08T02:15:21.000-08:00

El estado PROVISIONING indica que el recurso del certificado administrado por Google se creó, pero su aprovisionamiento aún no se completó.

Para que el proceso de aprovisionamiento del certificado continúe, se deben cumplir las condiciones siguientes:

  • Los registros DNS de tu dominio deben hacer referencia a la dirección IP del proxy de destino de tu balanceador de cargas,

  • El proxy de destino debe hacer referencia al recurso del certificado administrado por Google.

  • La configuración del balanceador de cargas debe estar completa, incluida la creación de una regla de reenvío.

Con una configuración correcta, es probable que el tiempo total para aprovisionar certificados tarde entre 30 y 60 minutos.

Si uno de los pasos de configuración anteriores no se realiza de manera correcta, el recurso del certificado administrado por Google tendrá, al final, el estado PROVISIONING_FAILED.

Debido a demoras en la propagación, es posible que el estado sea durante un breve período PROVISIONING_FAILED, incluso si la configuración es correcta. Si ves el estado PROVISIONING_FAILED, vuelve a verificar tu configuración y espera un momento para que el sistema vuelva a intentarlo. Luego, vuelve a verificar el estado. Además, puedes consultar el campo domainStatus para obtener información sobre qué dominio falló si hubo un error de DNS.

El estado PROVISIONING_FAILED_PERMANENTLY indica que el proceso de aprovisionamiento de certificados falló debido a un problema en la configuración de DNS o la configuración del balanceo de cargas. El proceso de aprovisionamiento no se reintenta.

Si el aprovisionamiento falla con el estado PROVISIONING_FAILED_PERMANENTLY, verifica la configuración del balanceador de cargas y corrige cualquier problema. Luego, vuelve a crear el recurso del certificado SSL. Para ello, sigue este procedimiento general:

  1. Crea un recurso de certificado nuevo.
  2. Agrega el recurso de certificado nuevo al proxy de destino.
  3. Actualiza el proxy de destino para que ya no enumere el recurso del certificado anterior.
  4. Quita el recurso del certificado anterior.

El estado RENEWAL_FAILED indica que la renovación del certificado falló debido a un problema con la configuración de DNS o del balanceo de cargas. El certificado existente seguirá entregando, pero caducará en breve. Verifica tu configuración y, si el estado sigue siendo RENEWAL_FAILED, aprovisiona un certificado nuevo, cambia para usar el certificado nuevo y, luego, borra el antiguo.

El estado ACTIVE indica que el certificado SSL se obtuvo de la autoridad certificada, que se completó el aprovisionamiento del recurso del certificado administrado por Google y que el balanceador de cargas usa el certificado.

Estado del dominio del recurso del certificado SSL administrado por Google

En esta sección, se analizan los valores que puede tener el campo domainStatus y se proporciona información sobre cómo controlar los problemas del aprovisionamiento.

Para determinar el valor del campo status, usa el comando siguiente:

gcloud beta compute ssl-certificates list

Verás un resultado similar a este:

NAME               TYPE          CREATION_TIMESTAMP             EXPIRE_TIME              MANAGED_STATUS
managed-cert       MANAGED       2018-08-10T08:44:30.220-07:00  2018-11-08T06:50:19.000-08:00  ACTIVE
    example.com: ACTIVE
self-managed-cer  SELF_MANAGED  2018-03-08T05:11:20.170-08:00  2019-03-08T02:15:21.000-08:00

El campo domainStatus del recurso del certificado SSL administrado por Google contiene el estado de las solicitudes de dominios para recursos de certificados SSL administrados por Google. Esta sección contiene información sobre los valores posibles del campo.

El estado PROVISIONING indica que el aprovisionamiento de certificados para el dominio está en proceso y tomará entre 30 y 60 minutos antes de que se active el certificado.

El estado FAILED_NOT_VISIBLE indica que el aprovisionamiento de certificados falló para un dominio debido a un problema de DNS o de la configuración del balanceo de cargas. Asegúrate de que el DNS esté configurado para que el dominio del certificado se resuelva en la dirección IP del balanceador de cargas.

El estado FAILED_CAA_CHECKING indica que no se pudieron verificar los registros de CAA del dominio.

El estado FAILED_CAA_FORBIDDEN indica que la emisión del certificado está prohibida por un registro de CAA explícito para el dominio.

Si tienes un registro de CAA que limita las autoridades que pueden emitir certificados, quita la limitación de tu registro de CAA.

El estado FAILED_RATE_LIMITED indica que alcanzaste el límite que se aplica a los certificados SSL administrados por Google. Esto se debe a que las autoridades certificadas limitaron la tasa de tráfico. Si Google tiene una gran cantidad de solicitudes de certificados durante un período corto, es posible que se aplique una limitación de frecuencia temporal para cualquier cliente determinado. Si ves este error, comunícate con el equipo de asistencia para que se pueda analizar un límite personalizado.

El estado ACTIVE indica que se aprovisionó un certificado SSL administrado por Google y que no hay problemas para este dominio. Ten en cuenta que esto puede tardar entre 30 y 60 minutos en propagarse por el sistema. El certificado aprovisionado es efectivo en su totalidad cuando puedes ver el certificado en el momento que se realizan las solicitudes al balanceador de cargas, y no solo cuando el estado es ACTIVE.

Visualiza las propiedades de los recursos del certificado SSL

Si quieres ver la información sobre tu recurso de certificado SSL, ejecuta el comando siguiente:

gcloud beta compute ssl-certificates describe [SSL_CERTIFICATE]
  • [SSL_CERTIFICATE]: el nombre del recurso de certificado SSL.

Enumera recursos de certificados SSL

Si quieres ver una lista de todos sus recursos de certificados SSL, ejecuta el comando siguiente:

gcloud beta compute ssl-certificates list

El resultado de este comando muestra la diferencia entre los certificados SSL autoadministrados y los administrados por Google. Ten en cuenta que MANAGED en el resultado indica que está administrado por Google.

NAME               TYPE          CREATION_TIMESTAMP             EXPIRE_TIME              MANAGED_STATUS
managed-cert       MANAGED       2018-08-10T08:44:30.220-07:00  2018-11-08T06:50:19.000-08:00  ACTIVE
    example.com: ACTIVE
self-managed-cer  SELF_MANAGED  2018-03-08T05:11:20.170-08:00  2019-03-08T02:15:21.000-08:00

Asocia los recursos de certificados SSL a un proxy de destino

Puedes asociar de uno a quince certificados SSL a un proxy de destino mediante Google Cloud Platform Console o mediante los comandos de gcloud. No importa si los certificados SSL son autoadministrados o administrados por Google.

Cuando creas un balanceador de cargas con Google Cloud Platform Console, la carga de los certificados SSL los asocia de forma automática al proxy de destino correcto. Usa las instrucciones en los documentos siguientes para crear un balanceador de cargas nuevo:

Si quieres actualizar los certificados asociados a un proxy HTTPS o SSL de destino, primero debes crear recursos de certificados SSL nuevos y, luego, actualizar el proxy de destino con Google Cloud Platform Console o los comandos de gcloud adecuados.

Si reemplazas un certificado SSL existente por uno nuevo, crea el nuevo recurso de certificado SSL, asócialo al proxy de destino y, luego, borra el recurso de certificado antiguo con las instrucciones de la sección borrar recursos del certificado SSL.

Console


  1. Ve a la página Balanceo de cargas de Google Cloud Platform Console.
    Ir a la página Balanceo de cargas
  2. Haz clic en el nombre del balanceador de cargas.
  3. Haz clic en el lápiz Editar.
  4. Haz clic en Configuración de frontend.
  5. Haz clic en el frontend correcto.
  6. Haz clic en Certificados adicionales, luego selecciona un certificado de la lista desplegable o haz clic en Agregar certificado y elige un certificado existente o haz clic en Crear un certificado nuevo.
  7. Si elegiste Crear un certificado nuevo, sube tu propio certificado o crea un certificado administrado por Google.
  8. Haz clic en Crear.

gcloud


Para los proxies HTTPS de destino, usa el comando siguiente, en el que puedes especificar hasta 15 recursos de certificados SSL:

gcloud compute target-https-proxies update [PROXY_NAME] \
    --ssl-certificates [SSL_CERT_1][,[SSL_CERT_2],...]
  • [PROXY_NAME]: es el nombre del recurso target-https-proxies que actualizas.
  • [[SSL_CERT_1][,[SSL_CERT_2],...]: es la lista completa de uno a quince nombres de los recursos SslCertificate.

Para los proxies SSL de destino, usa el comando siguiente, en el que puedes especificar hasta 15 recursos de certificados SSL:

gcloud compute target-ssl-proxies update  [PROXY_NAME] \
    --ssl-certificates [SSL_CERT_1][,[SSL_CERT_2],...]
  • [PROXY_NAME]: es el nombre del recurso target-ssl-proxies que actualizas.
  • [SSL_CERT_1][,[SSL_CERT_2],...]: es la lista completa de uno a 15 nombres de los recursos SslCertificate.

Borra los recursos del certificado SSL

Para borrar uno o más recursos de certificados SSL, sigue estos pasos:

Console


  1. En el panel izquierdo de la página Editar balanceador de cargas HTTP(S), haz clic en Configuración de Frontend.
  2. En el panel derecho, haz clic en la X junto al recurso de certificado que quieres borrar.
  3. Haz clic en Listo.

gcloud


gcloud compute ssl-certificates delete [SSL_CERT_1][,[SSL_CERT_2],...]
  • [SSL_CERTIFICATE]: es el nombre del recurso SslCertificate que quieres borrar.

Límites

  • Un balanceador de cargas proxy HTTPS o SSL debe tener, al menos, un certificado SSL y puede tener hasta 15 certificados SSL, en cualquier combinación de certificados autoadministrados y administrados por Google.

  • Un certificado administrado por Google solo puede tener un solo dominio especificado.

  • Cuando usas certificados administrados por Google con balanceo de cargas del proxy SSL, el puerto de frontend para el tráfico debe ser 443, a fin de permitir que se aprovisionen y renueven los certificados administrados por Google.

  • La longitud máxima admitida para el nombre de dominio es de 64 bytes.

  • No debes configurar los registros CAA que limiten las autoridades que pueden emitir certificados. Así se puede evitar que se emitan certificados administrados por Google.

Soluciona problemas

Mensaje de error cuando subes un certificado SSL

Es posible que veas el mensaje de error siguiente cuando intentes subir un certificado SSL:

The SSL certificate could not be parsed.

Google Cloud Platform necesita certificados en formato PEM. Si el certificado no tiene formato PEM, es posible que no sea válido.

Si quieres validar el certificado, ejecuta el comando siguiente en una línea de comandos de Linux o en tu Cloud Shell:

    openssl x509 -in certificate.crt -text -noout

Si ves la respuesta siguiente, el certificado no es válido:

  • unable to load certificate
  • Expecting: TRUSTED CERTIFICATE

Si el archivo no válido proviene de un certificado autogenerado, te recomendamos que generes un certificado nuevo. Para ello, sigue las instrucciones a fin de obtener una clave privada y un certificado firmado. Si se trata de un certificado proporcionado por una autoridad certificada (CA), comunícate con esa CA para obtener ayuda.

Mensaje de error cuando subes una clave SSL

Es posible que veas el mensaje de error siguiente cuando intentes subir una clave SSL:

The SSL key could not be parsed.

Si quieres obtener más información sobre la clave, ejecuta el comando siguiente:

    openssl rsa -in privateKey.pem -check

Si ves las respuestas siguientes, la clave no es válida:

  • unable to load Private Key
  • Expecting: ANY PRIVATE KEY
  • RSA key error: n does not equal p q
  • RSA key error: d e not congruent to 1
  • RSA key error: dmp1 not congruent to d
  • RSA key error: dmq1 not congruent to d
  • RSA key error: iqmp not inverse of q

Si ves estas respuestas, sigue las instrucciones para obtener una clave privada y un certificado firmado.

Si la clave no válida está encriptada, verás la respuesta siguiente:

  • Enter pass phrase for privateKey.pem

Google Cloud Platform necesita que la clave se suba en formato sin encriptar. Si quieres desencriptar tu clave, ejecuta el comando siguiente y, luego, ingresa tu contraseña cuando se te solicite. Consulta la página del manual de openssl-rsa para obtener información sobre las opciones de comando.

    openssl rsa -in privateKey.pem -out privateKeyUnencrypted.pem

Próximos pasos

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…