Descripción general de los certificados SSL

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

La seguridad de la capa de transporte (TLS) es un protocolo de encriptación que se usa en los certificados SSL para proteger las comunicaciones de redes.

Google Cloud usa certificados SSL para proporcionar privacidad y seguridad desde un cliente hacia un balanceador de cargas. Para lograrlo, el balanceador de cargas debe tener un certificado SSL y la clave privada que le corresponde al certificado. La comunicación entre el cliente y el balanceador de cargas sigue siendo privada, por lo que es ilegible para cualquier tercero que no tenga esta clave privada.

Certificados SSL autoadministrados y administrados por Google

Puedes obtener tus propios certificados autoadministrados o puedes usar certificados administrados por Google, que Google obtiene y administra.

  • Los certificados SSL autoadministrados son certificados que obtienes, aprovisionas y renuevas tú mismo. Los siguientes certificados pueden pertenecer a este tipo:

    • Validación de dominio (DV)
    • Validación de organización (OV)
    • Validación extendida (EV)

    Para obtener más información, consulta Public key certificate (Certificado de clave pública).

  • Los certificados SSL administrados por Google son certificados que Google Cloud obtiene y administra para tus dominios, y los renueva de manera automática. Los certificados administrados por Google son certificados de validación de dominio (DV). No demuestran la identidad de una organización o de un individuo asociados con el certificado, y no admiten nombres comunes comodín.

En la siguiente tabla, se resumen los tipos de balanceadores de cargas de Google Cloud que requieren certificados SSL y tipos de certificados compatibles.

Tipo de balanceador de cargas Protocolo del cliente al balanceador de cargas Tipo de certificado admitido
  • Balanceador de cargas de HTTP(S) externo global
  • Balanceador de cargas de HTTP(S) global externo (clásico)
HTTPS o HTTP/2 Administrada por Google, autoadministrada o una combinación de ambas
  • Balanceador de cargas HTTP(S) regional externo
  • Balanceador de cargas HTTP(S) interno
HTTPS o HTTP/2 Administración automática
Balanceador de cargas de proxy SSL externo SSL (TLS) Administrada por Google, autoadministrada o una combinación de ambas

Si deseas obtener información sobre la configuración de certificados SSL para los balanceadores de cargas, consulta las siguientes guías:

Administrador de certificados

Si usas el balanceador de cargas de HTTP(S) externo global (clásico) o el balanceador de cargas de HTTP(S) externo global en el Nivel de servicio de red Premium, puedes usar el Administrador de certificados para aprovisionar y administrar tus certificados SSL. El Administrador de certificados no tiene las limitaciones enumeradas en la sección Limitaciones de esta página. El Administrador de certificados no admite ningún otro tipo de balanceadores de cargas.

Para obtener más información, consulta la descripción general del Administrador de certificados.

Varios certificados SSL

Puedes configurar hasta la cantidad máxima de certificados SSL por HTTPS o proxy SSL de destino. Usa varios certificados SSL cuando entregues desde varios dominios mediante la misma dirección IP y el mismo puerto de balanceador de cargas, y usa un certificado SSL diferente para cada dominio.

Cuando especificas más de un certificado SSL, el primer certificado de la lista de certificados SSL se considera el principal asociado con el proxy de destino.

Cuando un cliente envía una solicitud, el balanceador de cargas usa el nombre de host de la indicación de nombre del servidor (SNI) que especificó el cliente a fin de seleccionar el certificado que se usará para negociar la conexión SSL. Siempre que sea posible, el balanceador de cargas selecciona un certificado cuyo nombre común (CN) o nombre alternativo de la entidad (SAN) coincida con el nombre de host de SNI que especificó el cliente. Si usas certificados RSA y ECDSA para el nombre de host, el balanceador de cargas selecciona de forma automática un certificado para la conexión, según las capacidades del cliente.

Cuando el nombre de host de SNI coincide con CN o SAN en más de un certificado, la selección del certificado se basa en factores internos y específicos del cliente que no se pueden predecir. Se muestra uno de los certificados que coinciden con la SNI. El balanceador de cargas también puede entregar el certificado vencido si este sigue asociado con el proxy de destino.

Si no se puede seleccionar ninguno de los certificados disponibles, o si el cliente no especifica un nombre de host de SNI, el balanceador de cargas negocia SSL mediante el certificado principal (el primer certificado de la lista).

Varios certificados SSL (haz clic para ampliar)
Varios certificados SSL (haz clic para ampliar)

Encriptación del balanceador de cargas a los backends

Para obtener más información sobre este tema, consulta Encriptación en los backends.

Balanceadores de cargas, certificados SSL y proxies de destino

Un recurso de certificado SSL de Google Cloud contiene una clave privada y el certificado SSL.

Los proxies de destino representan la conexión lógica entre el frontend de un balanceador de cargas y el servicio de backend (en el caso de los balanceadores de cargas de proxy SSL externo) o el mapa de URL (en el caso de los balanceadores de cargas HTTPS). Adjunta el certificado SSL al proxy de destino del balanceador de cargas mientras creas el balanceador de cargas o en cualquier momento posterior. Los cambios en los certificados SSL no alteran ni interrumpen las conexiones del balanceador de cargas existentes.

En el siguiente diagrama, se muestra cómo el proxy de destino y sus certificados SSL asociados se ajustan a la arquitectura del balanceo de cargas.

Proxy de destino, certificado SSL y otros componentes del balanceador de cargas (haz clic para ampliar)
Proxy de destino, certificado SSL y otros componentes del balanceador de cargas (haz clic para ampliar)

Alcance de los certificados SSL

Google Cloud tiene dos alcances para los recursos de certificados SSL: regional y global.

Tipo de balanceador de cargas Alcance del recurso de certificado SSL Referencia de gcloud Referencia de API
  • Balanceador de cargas de HTTP(S) externo global
  • Balanceador de cargas de HTTP(S) global externo (clásico)
Global gcloud compute ssl-certificates --global sslCertificates
  • Balanceador de cargas HTTP(S) regional externo
  • Balanceador de cargas HTTP(S) interno
Regional gcloud compute ssl-certificates --region regionSslCertificates
Balanceador de cargas de proxy SSL externo Global gcloud compute ssl-certificates --global sslCertificates

Para el balanceador de cargas HTTP(S) externo global (clásico) y el balanceador de cargas de proxy SSL externo, se requieren recursos de certificados SSL globales en el nivel Estándar y el nivel Premium. Esto significa que, en el nivel Estándar, una regla de reenvío regional apunta a un proxy de destino global.

Proxies de destino

Los certificados SSL se asocian con los siguientes tipos de proxies de destino:

Tipo de balanceador de cargas Tipo de proxy de destino Referencia de gcloud Referencia de API
  • Balanceador de cargas de HTTP(S) externo global
  • Balanceador de cargas de HTTP(S) global externo (clásico)
Global gcloud compute target-https-proxies --global targetHttpsProxies
  • Balanceador de cargas HTTP(S) regional externo
  • Balanceador de cargas HTTP(S) interno
Regional gcloud compute target-https-proxies --region regionTargetHttpsProxies
Balanceador de cargas de proxy SSL externo Global gcloud compute target-ssl-proxies --global targetSslProxies

Precios

Es posible que se generen cargos por las herramientas de redes cuando usas balanceadores de cargas de Google Cloud. Para obtener más información, consulta Todos los precios de herramientas de redes. No se aplican cargos adicionales por usar certificados SSL autoadministrados ni administrados por Google.

Limitaciones

  • Se admite una cantidad limitada de certificados SSL para cada proxy de destino. Para obtener más información, consulta el límite de certificados SSL por proxy SSL o HTTPS de destino.

  • Se admite una cantidad limitada de dominios para cada certificado administrado por Google. Para obtener más información, consulta el límite de dominios por certificado SSL administrado por Google.

  • Cuando usas certificados administrados por Google con balanceo de cargas del proxy SSL externo, la regla de reenvío del balanceador de cargas debe usar el puerto TCP 443 para que el certificado administrado por Google se renueve de manera automática.

  • Los balanceadores de cargas de Google Cloud no admiten la autenticación basada en certificados de cliente (TLS mutua, mTLS).

  • En los certificados SSL administrados por Google, no se admite el uso de comodines.

¿Qué sigue?

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis