En este instructivo, se muestra cómo usar Certificate Manager para implementar un certificado global administrado por Google con Certificate Authority Service en un balanceador de cargas de aplicaciones interno entre regiones.
Si deseas realizar implementaciones en balanceadores de cargas externos globales o regionales, consulta lo siguiente:
Configura la integración del Servicio de CA con Certificate Manager
Para integrar el servicio de la CA con Certificate Manager, sigue estos pasos:
En el proyecto Google Cloud de destino, crea una cuenta de servicio de Certificate Manager:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDReemplaza
PROJECT_IDpor el ID del proyecto de destinoGoogle Cloud .El comando devuelve el nombre de la identidad del servicio creada. Consulta el siguiente ejemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Otorga a la cuenta de servicio de Certificate Manager el rol de solicitante de certificados del servicio de CA (
roles/privateca.certificateRequester) dentro del grupo de CA de destino:gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterReemplaza lo siguiente:
CA_POOL: Es el ID del grupo de AC de destino.LOCATION: Es la ubicación Google Cloud objetivo.SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.
Crea un recurso de configuración de emisión de certificados para tu grupo de CA:
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Certificate Manager.
Haz clic en Crear. Aparecerá la página Create a Certificate Issuance Config.
En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.
Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.
En Ubicación, selecciona Global.
Opcional: En el campo Duración, especifica la duración del certificado emitido en días. El valor debe estar entre 21 y 30 días (inclusive).
Opcional: En Porcentaje de la ventana de rotación, especifica el porcentaje de la vida útil del certificado en el que comienza su proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje de la ventana de rotación y de duración.
Opcional: En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.
En la lista Grupo de CA, selecciona el nombre del grupo de CA que se asignará a este recurso de configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOLReemplaza lo siguiente:
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados.CA_POOL: Es la ruta de acceso y el nombre completos del recurso del grupo de entidades certificadoras que deseas asignar a este recurso de configuración de emisión de certificados.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra los recursos de configuración de emisión de certificados.
Crea un certificado administrado por Google emitido por tu instancia de CA Service
Para crear un certificado administrado por Google emitido por tu instancia de Certificate Authority Service, haz lo siguiente:
Console
En la consola de Google Cloud , ve a la página Certificate Manager.
En la pestaña Certificados, haz clic en Agregar certificado.
En el campo Nombre del certificado, ingresa un nombre único para el certificado.
Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.
En Ubicación, selecciona Global.
En Alcance, selecciona Todas las regiones.
En Tipo de certificado, selecciona Crear certificado administrado por Google.
En Tipo de autoridad certificadora, selecciona Privada.
En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como
myorg.example.com.En Select a certificate issuance config, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.
El certificado nuevo aparecerá en la lista de certificados.
gcloud
Para crear un certificado administrado por Google en varias regiones con Certificate Authority Service, usa el comando certificate-manager certificates create con las marcas issuance-config y --scope:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config=ISSUANCE_CONFIG_NAME \
--scope=all-regions
Reemplaza lo siguiente:
CERTIFICATE_NAME: El nombre del certificado.DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
API
Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
"scope": "ALL_REGIONS"
}
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto Google Cloud .CERTIFICATE_NAME: El nombre del certificado.DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, comomyorg.example.com.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
Verifica el estado del certificado
Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.
Console
En la consola de Google Cloud , ve a la página Certificate Manager.
En la pestaña Certificados, verifica la columna Estado del certificado.
gcloud
Para verificar el estado del certificado, ejecuta el siguiente comando:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Reemplaza CERTIFICATE_NAME por el nombre del certificado administrado por Google de destino.
El resultado es similar a este:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/global/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/global/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.
Implementa el certificado en un balanceador de cargas
Para implementar el certificado global administrado por Google, adjúntalo directamente al proxy de destino.
Adjunta el certificado directamente al proxy de destino
Puedes adjuntar el certificado a un proxy de destino nuevo o existente.
Para adjuntar el certificado a un proxy de destino nuevo, usa el comando gcloud compute
target-https-proxies create:
gcloud compute target-https-proxies create PROXY_NAME \
--url-map=URL_MAP \
--certificate-manager-certificates=CERTIFICATE_NAME \
--global
Reemplaza lo siguiente:
PROXY_NAME: Es el nombre del proxy de destino.URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.CERTIFICATE_NAME: El nombre del certificado.
Para adjuntar el certificado a un proxy HTTPS de destino existente, usa el comando gcloud
compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.
gcloud compute target-https-proxies update PROXY_NAME \
--global \
--certificate-manager-certificates=CERTIFICATE_NAME
Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:
gcloud compute target-https-proxies list
Solución de problemas relacionados con los certificados emitidos por el servicio de CA
Si quieres conocer los pasos para solucionar problemas, consulta Problemas relacionados con los certificados emitidos por una instancia de CA Service.
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.
Borra el balanceador de cargas y sus recursos.
Borra el certificado administrado por Google:
Console
En la consola de Google Cloud , ve a la página Certificate Manager.
En la pestaña Certificados, selecciona la casilla de verificación del certificado.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Reemplaza
CERTIFICATE_NAMEpor el nombre del certificado de destino.Borra el recurso de configuración de emisión de certificados:
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Certificate Manager.
Selecciona la casilla de verificación del recurso de configuración de emisión que deseas borrar.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Reemplaza
ISSUANCE_CONFIG_NAMEpor el nombre del recurso de configuración de emisión de certificados de destino.Borra el grupo de CA.
Para borrar el grupo de CA o inhabilitar la última CA habilitada en un grupo de CA al que hace referencia un recurso de configuración de emisión de certificados, borra todas las configuraciones de emisión de certificados que hagan referencia al grupo de CA. Para obtener más información, consulta Borra un grupo de entidades de certificación.