Desplegar un certificado global gestionado por Google con el Servicio de Autoridades de Certificación

Configurar la integración del Servicio de Autoridades de Certificación con el Administrador de certificados

Para integrar el servicio de CA con Certificate Manager, sigue estos pasos:

1. En el proyecto de destino, Google Cloud crea una cuenta de servicio de Certificate Manager:

   gcloud beta services identity create --service=certificatemanager.googleapis.com \
       --project=PROJECT_ID
   

   Sustituye PROJECT_ID por el ID del proyecto de destinoGoogle Cloud .

   El comando devuelve el nombre de la identidad de servicio creada. Consulta el siguiente ejemplo:

   service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
   

2. Asigna el rol Solicitante del certificado del Servicio de Autoridades de Certificación (roles/privateca.certificateRequester) a la cuenta de servicio de Certificate Manager en el grupo de AC de destino:

   gcloud privateca pools add-iam-policy-binding CA_POOL \
       --location LOCATION \
       --member "serviceAccount:SERVICE_ACCOUNT" \
       --role roles/privateca.certificateRequester
   

   Haz los cambios siguientes:

   • CA_POOL: el ID del grupo de AC de destino.
   • LOCATION: la ubicación de destino. Google Cloud
   • SERVICE_ACCOUNT: el nombre completo de la cuenta de servicio que has creado en el paso 1.

3. Crea un recurso de configuración de emisión de certificados para tu grupo de autoridades de certificación:

   Consola

   1. En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud

      Ir a Certificate Manager

   2. Haz clic en Crear. Se mostrará la página Create a Certificate Issuance Config (Crear una configuración de emisión de certificados).

   3. En el campo Name (Nombre), introduce un nombre único para la configuración de emisión del certificado.

   4. Opcional: En el campo Descripción, escribe una descripción de la configuración de emisión.

   5. En Ubicación, selecciona Global.

   6. Opcional: En el campo Tiempo de vida, especifica el tiempo de vida del certificado emitido en días. El valor debe estar entre 21 y 30 días (ambos incluidos).

   7. Opcional: En Porcentaje de la ventana de rotación, especifica el porcentaje del tiempo de validez del certificado en el que se iniciará el proceso de renovación. Para consultar el intervalo de valores válidos, consulta Ventana de tiempo de vida y rotación (porcentaje).

   8. Opcional: En la lista Algoritmo de clave, seleccione el algoritmo de clave que quiera usar al generar la clave privada.

   9. En la lista Grupo de ACs, selecciona el nombre del grupo de ACs que quieras asignar a este recurso de configuración de emisión de certificados.

   10. En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haga clic en add_boxAñadir etiqueta y especifique una clave y un valor para la etiqueta.

   11. Haz clic en Crear.

   gcloud

   gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
       --ca-pool=CA_POOL
   

   Haz los cambios siguientes:

   • ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión del certificado.
   • CA_POOL: la ruta y el nombre completos del recurso de grupo de AC que quieras asignar a este recurso de configuración de emisión de certificados.

   Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Gestionar recursos de configuración de emisión de certificados.

Crear un certificado gestionado por Google emitido por tu instancia del Servicio de Autoridades de Certificación

Para crear un certificado gestionado por Google emitido por tu instancia de Servicio de Autoridades de Certificación, sigue estos pasos:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 }
}

Verificar el estado del certificado

Antes de implementar un certificado en un balanceador de carga, comprueba que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

gcloud certificate-manager certificates describe CERTIFICATE_NAME

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  domains:
  - myorg.example.com
  issuanceConfig: projects/myproject/locations/global/issuanceConfigs/myissuanceConfig
  state: ACTIVE
name: projects/myproject/locations/global/certificates/mycertificate
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Para ver más pasos para solucionar problemas, consulta Solucionar problemas de Gestor de certificados.

Implementar el certificado en un balanceador de carga

Para desplegar el certificado global gestionado por Google, usa un mapa de certificados.

Crear un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada de mapa de certificados asociada a tu certificado:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crear una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala a tu certificado y a tu mapa de certificados:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verificar que la entrada de mapa de certificados esté activa

Verifica que la entrada del mapa de certificados esté activa antes de adjuntar el mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Haz los cambios siguientes:

• CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
• CERTIFICATE_NAME: el nombre del certificado que quieres asociar a la entrada del mapa de certificados.

El resultado debería ser similar al siguiente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puede adjuntar el mapa de certificados a un proxy de destino nuevo o a uno que ya tenga.

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

gcloud compute target-https-proxies list

Cuando configures un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usará los certificados a los que haga referencia el mapa de certificados e ignorará los certificados TLS (SSL) adjuntos directamente.

Solucionar problemas con certificados emitidos por el Servicio de Autoridades de Certificación

Para ver los pasos para solucionar problemas, consulta Problemas relacionados con los certificados emitidos por una instancia del servicio de CA.

Limpieza

Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en este tutorial, elimínalos.

1. Elimina el balanceador de carga y sus recursos.

   Consulta Limpiar la configuración de un balanceador de carga.

2. Elimina o separa el mapa de certificados del proxy.

   Para eliminar el mapa de certificados, ejecuta el siguiente comando:

   gcloud compute target-https-proxies delete PROXY_NAME
   

   Si quieres conservar el proxy HTTPS de destino, desvincula el mapa de certificados del proxy.

   • Si hay algún certificado TLS (SSL) adjunto directamente al proxy, al separar el mapa de certificados, el proxy volverá a usar esos certificados TLS (SSL) adjuntos directamente.
   • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede separar del proxy. Primero debes adjuntar al menos un certificado TLS (SSL) directamente al proxy para poder separar el mapa de certificados.

   Para separar el mapa de certificados, ejecuta el siguiente comando:

   gcloud compute target-https-proxies update PROXY_NAME \
       --clear-certificate-map
   

   Sustituye PROXY_NAME por el nombre del proxy de destino.

3. Elimina la entrada del mapa de certificados del mapa de certificados:

   gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
       --map="CERTIFICATE_MAP_NAME"
   

   Haz los cambios siguientes:

   • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
   • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados.

4. Elimina el mapa de certificados:

   gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
   

   Sustituye CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

5. Elimina el certificado gestionado por Google:

   Consola

   1. En la Google Cloud consola, ve a la página Gestor de certificados.

      Ir a Certificate Manager

   2. En la pestaña Certificados, marca la casilla del certificado.

   3. Haz clic en Eliminar.

   4. En el cuadro de diálogo que aparece, haz clic en Eliminar para confirmar la acción.

   gcloud

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
   

   Sustituye CERTIFICATE_NAME por el nombre del certificado de destino.

6. Elimina el recurso de configuración de emisión de certificados:

   Consola

   1. En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud

      Ir a Certificate Manager

   2. Seleccione la casilla del recurso de configuración de emisión que quiera eliminar.

   3. Haz clic en Eliminar.

   4. En el cuadro de diálogo que aparece, haz clic en Eliminar para confirmar la acción.

   gcloud

    gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    

   Sustituye ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados de destino.

7. Elimina el grupo de ACs.

   Para eliminar el grupo de AC o inhabilitar la última AC habilitada de un grupo de AC al que haga referencia un recurso de configuración de emisión de certificados, elimina todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de AC. Para obtener más información, consulta Eliminar un grupo de CAs.