Emite un certificado con la Google Cloud consola

En esta guía de inicio rápido, se muestra cómo generar o emitir certificados a través de Certificate Authority Service con la Google Cloud consola.

Aprende a administrar autoridades certificadoras (AC) privadas de forma segura sin aprovisionar ni mantener la infraestructura.

Antes de comenzar

  1. Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

Roles obligatorios

Si quieres obtener los permisos que necesitas para completar esta guía de inicio rápido, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crear grupo de CA

Un grupo de CA es un conjunto de varias AC. Un grupo de CA ofrece la capacidad de rotar cadenas de confianza sin interrupciones ni tiempos de inactividad en las cargas de trabajo. Un grupo de CA reside en una sola Google Cloud ubicación que no puedes cambiar después de la creación.

Para crear un grupo de CA con la configuración predeterminada, haz lo siguiente:

  1. Ve a la página Certificate Authority Service en la Google Cloud consola.

    Ir a Certificate Authority Service

  2. En la pestaña Administrador de grupos de CA, haz clic en Crear grupo.

  3. En la página Crear grupo de CA, agrega un nombre para el grupo de CA.

  4. Haz clic en Región y selecciona us-east1 (Carolina del Sur) como la región de l grupo de CA.

  5. Haz clic en Siguiente en cada paso.

  6. Haz clic en Listo.

Puedes ver este grupo de CA en la lista de grupos de CA en la pestaña Administrador de grupos de CA.

Crea una AC raíz:

Un grupo de CA está vacío cuando se crea. Debes agregar una CA al grupo de CA para solicitar certificados.

Una CA raíz tiene un certificado autofirmado que reside en el almacén de confianza del cliente. En esta sección, se explica cómo agregar una CA raíz al grupo de CA que creaste.

Para agregar una CA raíz a tu grupo de CA, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de CA.
  2. Haz clic en la flecha del expansor Crear CA y, luego, selecciona Crear CA en un grupo de CA existente.
  3. Selecciona el grupo de CA que creaste.
  4. Haz clic en Continuar.
  5. En la sección Seleccionar tipo de CA, haz clic en Continuar.
  6. En el campo Organización (O), ingresa el nombre de tu organización.
  7. En el campo Nombre común de CA (CN), ingresa el nombre de la CA. Toma nota del nombre de la CA, ya que lo necesitarás para solicitar un certificado.
  8. Haz clic en Continuar en cada paso.
  9. Revisa los detalles de la CA y haz clic en Listo.

Opcional: Crea un grupo de CA subordinado

Un grupo de CA subordinado te permite organizar y administrar varias AC subordinadas. La CA raíz valida y firma todas las CA dentro de un grupo de CA subordinado.

Para crear un grupo de CA subordinado con la configuración predeterminada, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de grupos de CA.
  2. Haz clic en Crear grupo.

  3. En la página Crear grupo de CA, agrega un nombre para el grupo de CA subordinado.

  4. Haz clic en Región y selecciona us-east1 (Carolina del Sur) como la región de l grupo de CA subordinado.

  5. Haz clic en Siguiente en cada paso.

  6. Haz clic en Listo.

Asegúrate de que el grupo de AC subordinada esté disponible en la lista de grupos de AC en la pestaña Administrador de grupos de AC.

Opcional: Crea una CA subordinada firmada por tu CA raíz

Las AC subordinadas son responsables de distribuir certificados a las entidades finales que los necesitan, como servidores web, usuarios y dispositivos. Las AC subordinadas crean una capa de separación entre la CA raíz altamente sensible y la emisión de certificados diaria.

Para generar una CA subordinada firmada por una CA raíz que creaste antes, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de CA.
  2. Haz clic en la flecha del expansor Crear CA y, luego, selecciona Crear CA en un grupo de CA existente.
  3. Selecciona el grupo de CA subordinado que creaste.
  4. Haz clic en Continuar.
  5. Haz clic en CA subordinada.
  6. Haz clic en La CA raíz está en Google Cloud.
  7. En el campo Autoridad certificadora de firma, haz clic en Explorar.
  8. En el diálogo Seleccionar una CA, selecciona la CA raíz creada en la sección Crea una AC raíz :
  9. Haz clic en Confirmar.
  10. En el campo Válido hasta, ingresa la duración durante la que deseas que sea válido el certificado de la AC subordinada.
  11. Haz clic en Continuar.
  12. En el campo Organización (O), ingresa el nombre de tu organización.
  13. En el campo Nombre común de CA (CN), ingresa el nombre de la CA subordinada. Toma nota del nombre de la CA subordinada, ya que lo necesitarás para solicitar un certificado.
  14. Haz clic en Continuar en cada paso.
  15. Revisa los detalles de la CA subordinada y haz clic en Listo.

Solicitar un certificado

Para solicitar un certificado con la CA, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Solicitar un certificado.
  2. Haz clic en Ingresar detalles.
  3. En Agregar nombre de dominio, ingresa el nombre de dominio completamente calificado del sitio que deseas proteger con este certificado.
  4. Haz clic en Siguiente.

  5. En Configurar el tamaño de la clave y el algoritmo, haz clic en Continuar.

    Verás el certificado generado que puedes copiar o descargar. Para copiar el certificado, haz clic en .

  6. Haz clic en Listo.

Limpia

Para limpiar, revoca el certificado y borra el grupo de CA, la CA y el proyecto que creaste para esta guía de inicio rápido.

  1. Revoca el certificado.

    1. Haz clic en la pestaña Administrador de certificados privados.
    2. En la lista de certificados, haz clic en Ver más en la fila de el certificado que deseas borrar.
    3. Haz clic en Revocar.
    4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

  2. Borra la CA.

    Solo puedes borrar una CA después de revocar todos los certificados que emitió.

    Después de revocar el certificado, haz lo siguiente:

    1. En la lista de CA, selecciona la CA que deseas borrar.
    2. Haz clic en Borrar. Aparecerá el diálogo Borrar autoridad certificadora.
    3. Opcional: Selecciona una o ambas de las siguientes casillas de verificación si las condiciones se aplican a ti:

      • Borrar esta CA aunque haya certificados activos

        Esta opción te permite borrar una CA con certificados activos. Si borras una CA con certificados activos es posible que los sitios web, las aplicaciones o los sistemas que dependen de esos certificados fallen. Te recomendamos que revoques todos los certificados activos emitidos por una CA antes de borrarla.

      • Omitir el período de gracia de 30 días y borrar esta CA de inmediato

        El período de gracia de 30 días te permite revocar todos los certificados emitidos por esta CA y verificar que ningún sistema dependa de esta CA. Te recomendamos que uses esta opción solo en entornos de prueba o que no sean de producción para evitar posibles interrupciones y pérdida de datos.

    4. Haz clic en Confirmar.

    El estado de la CA cambia a Deleted. La CA se borra de forma permanente 30 días después de que inicias la eliminación.

  3. Borra el grupo de CA.

    Solo puedes borrar un grupo de CA después de que el servicio de CA borre la CA de forma permanente.

    Después de borrar la CA en el grupo de CA, haz lo siguiente:

    1. Haz clic en la pestaña Administrador de grupos de CA.
    2. En la lista de grupos de CA, selecciona el grupo de CA que deseas borrar.
    3. Haz clic en Borrar.
    4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

  4. Para borrar tu proyecto, haz lo siguiente:

    1. En la Google Cloud consola, ve a la página Administrar recursos.

      Ir a Administrar recursos

    2. En la lista de proyectos, elige el proyecto que tú quieres borrar y haz clic en Borrar.
    3. En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

¿Qué sigue?