Implementa un certificado global administrado por Google con Certificate Authority Service

Configura la integración del Servicio de CA con Certificate Manager

Para integrar el servicio de la CA con Certificate Manager, sigue estos pasos:

1. En el proyecto Google Cloud de destino, crea una cuenta de servicio de Certificate Manager:

   gcloud beta services identity create --service=certificatemanager.googleapis.com \
       --project=PROJECT_ID
   

   Reemplaza PROJECT_ID por el ID del proyecto de destinoGoogle Cloud .

   El comando devuelve el nombre de la identidad del servicio creada. Consulta el siguiente ejemplo:

   service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
   

2. Otorga a la cuenta de servicio de Certificate Manager el rol de solicitante de certificados del servicio de CA (roles/privateca.certificateRequester) dentro del grupo de CA de destino:

   gcloud privateca pools add-iam-policy-binding CA_POOL \
       --location LOCATION \
       --member "serviceAccount:SERVICE_ACCOUNT" \
       --role roles/privateca.certificateRequester
   

   Reemplaza lo siguiente:

   • CA_POOL: Es el ID del grupo de AC de destino.
   • LOCATION: Es la ubicación Google Cloud objetivo.
   • SERVICE_ACCOUNT: Es el nombre completo de la cuenta de servicio que creaste en el paso 1.

3. Crea un recurso de configuración de emisión de certificados para tu grupo de CA:

   Console

   1. En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Certificate Manager.

      Ir al Administrador de certificados

   2. Haz clic en Crear. Aparecerá la página Create a Certificate Issuance Config.

   3. En el campo Nombre, ingresa un nombre único para la configuración de emisión de certificados.

   4. Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.

   5. En Ubicación, selecciona Global.

   6. Opcional: En el campo Duración, especifica la duración del certificado emitido en días. El valor debe estar entre 21 y 30 días (inclusive).

   7. Opcional: En Porcentaje de la ventana de rotación, especifica el porcentaje de la vida útil del certificado en el que comienza su proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje de la ventana de rotación y de duración.

   8. Opcional: En la lista Algoritmo de clave, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.

   9. En la lista Grupo de CA, selecciona el nombre del grupo de CA que se asignará a este recurso de configuración de emisión de certificados.

   10. En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en add_boxAgregar etiqueta y especifica una clave y un valor para tu etiqueta.

   11. Haz clic en Crear.

   gcloud

   gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
       --ca-pool=CA_POOL
   

   Reemplaza lo siguiente:

   • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados.
   • CA_POOL: Es la ruta de acceso y el nombre completos del recurso del grupo de entidades certificadoras que deseas asignar a este recurso de configuración de emisión de certificados.

   Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Administra los recursos de configuración de emisión de certificados.

Crea un certificado administrado por Google emitido por tu instancia de CA Service

Para crear un certificado administrado por Google emitido por tu instancia de Certificate Authority Service, haz lo siguiente:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 }
}

Verifica el estado del certificado

Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

gcloud certificate-manager certificates describe CERTIFICATE_NAME

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  domains:
  - myorg.example.com
  issuanceConfig: projects/myproject/locations/global/issuanceConfigs/myissuanceConfig
  state: ACTIVE
name: projects/myproject/locations/global/certificates/mycertificate
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.

Implementa el certificado en un balanceador de cargas

Para implementar el certificado global administrado por Google, usa un mapa de certificados.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada de mapa de certificados asociada a tu certificado:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada del mapa de certificados esté activa antes de adjuntar el mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

• CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
• CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a este:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o existente.

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

gcloud compute target-https-proxies list

Cuando configuras un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usa los certificados a los que hace referencia el mapa de certificados y omite los certificados TLS (SSL) adjuntos directamente.

Solución de problemas relacionados con los certificados emitidos por el servicio de CA

Si deseas conocer los pasos para solucionar problemas, consulta Problemas relacionados con los certificados emitidos por una instancia de CA Service.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.

1. Borra el balanceador de cargas y sus recursos.

   Consulta Limpia una configuración de balanceo de cargas.

2. Borra o desconecta el mapa de certificados del proxy.

   Para borrar el mapa de certificados, ejecuta el siguiente comando:

   gcloud compute target-https-proxies delete PROXY_NAME
   

   Si quieres conservar el proxy HTTPS de destino, desvincula el mapa de certificados del proxy.

   • Si hay certificados TLS (SSL) adjuntos directamente al proxy, desconectar el mapa de certificados hará que el proxy vuelva a usar esos certificados TLS (SSL) adjuntos directamente.
   • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede separar del proxy. Primero debes adjuntar al menos un certificado TLS (SSL) directamente al proxy antes de poder separar el mapa de certificados.

   Para separar el mapa de certificados, ejecuta el siguiente comando:

   gcloud compute target-https-proxies update PROXY_NAME \
       --clear-certificate-map
   

   Reemplaza PROXY_NAME por el nombre del proxy de destino.

3. Borra la entrada del mapa de certificados:

   gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
       --map="CERTIFICATE_MAP_NAME"
   

   Reemplaza lo siguiente:

   • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
   • CERTIFICATE_MAP_NAME: El nombre del mapa de certificados.

4. Borra el mapa de certificados:

   gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
   

   Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

5. Borra el certificado administrado por Google:

   Console

   1. En la consola de Google Cloud , ve a la página Certificate Manager.

      Ir al Administrador de certificados

   2. En la pestaña Certificados, selecciona la casilla de verificación del certificado.

   3. Haz clic en Borrar.

   4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

   gcloud

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
   

   Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

6. Borra el recurso de configuración de emisión de certificados:

   Console

   1. En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Certificate Manager.

      Ir al Administrador de certificados

   2. Selecciona la casilla de verificación del recurso de configuración de emisión que deseas borrar.

   3. Haz clic en Borrar.

   4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

   gcloud

    gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    

   Reemplaza ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados de destino.

7. Borra el grupo de CA.

   Para borrar el grupo de CA o inhabilitar la última CA habilitada en un grupo de CA al que hace referencia un recurso de configuración de emisión de certificados, borra todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de CA. Para obtener más información, consulta Borra un grupo de entidades de certificación.