Implementa un certificado autoadministrado en varias regiones

En este instructivo, se muestra cómo usar Certificate Manager para implementar un certificado autoadministrado global en un balanceador de cargas de aplicaciones interno entre regiones.

Si deseas realizar implementaciones en balanceadores de cargas externos globales o regionales, consulta lo siguiente:

Sube un certificado autoadministrado al Administrador de certificados

Para subir el certificado al Administrador de certificados, haz lo siguiente:

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Alcance, selecciona Todas las regiones.

  7. En Tipo de certificado, selecciona Crear certificado autoadministrado.

  8. En el campo Certificado, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  10. En el campo Etiquetas, especifica las etiquetas que se asociarán con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  11. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado autoadministrado entre regiones, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Sube el certificado realizando una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • PEM_CERTIFICATE: Es el PEM del certificado.
  • PEM_KEY: Es la PEM de la clave.

Implementa el certificado autoadministrado en un balanceador de cargas

Para implementar el certificado autoadministrado global, adjúntalo directamente al proxy de destino.

Adjunta el certificado directamente al proxy de destino

Puedes adjuntar el certificado a un proxy de destino nuevo o existente.

Para adjuntar el certificado a un proxy de destino nuevo, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.
  • URL_MAP: el nombre del mapa de URL. Creaste el mapa de URL cuando creaste el balanceador de cargas.
  • CERTIFICATE_NAME: El nombre del certificado.

Para adjuntar el certificado a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Limpia

Para evitar que se generen cargos en tu Google Cloud cuenta por los recursos que usaste en este instructivo, borra el certificado que subiste:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

Si no planeas usar el balanceador de cargas, bórralo junto con sus recursos. Consulta Limpia una configuración de balanceo de cargas.