Implementa un certificado autoadministrado global

En este instructivo, se muestra cómo usar el Administrador de certificados para implementar un certificado global autoadministrado.

Los siguientes balanceadores de cargas admiten certificados autoadministrados globales:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico
  • Balanceador de cargas de red del proxy externo global
  • Balanceador de cargas de red del proxy clásico

Si deseas realizar implementaciones en balanceadores de cargas regionales o entre regiones, consulta lo siguiente:

Sube un certificado autoadministrado al Administrador de certificados

Para subir el certificado al Administrador de certificados, haz lo siguiente:

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona Predeterminado.

  7. En Tipo de certificado, selecciona Crear certificado autoadministrado.

  8. En el campo Certificado, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  10. En el campo Etiquetas, especifica las etiquetas que se asociarán con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  11. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado autoadministrado global, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Sube el certificado realizando una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • PEM_CERTIFICATE: Es el PEM del certificado.
  • PEM_KEY: Es la PEM de la clave.

Implementa el certificado autoadministrado en un balanceador de cargas

Para implementar el certificado autoadministrado global, usa un mapa de certificados.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada de mapa de certificados asociada a tu certificado:

gcloud

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados de destino.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

    Si deseas crear un certificado que abarque tanto un dominio comodín como un dominio raíz, especifica el nombre de host con un comodín y una raíz, como example.com y *.example.com. Además, debes especificar dos entradas de mapa de certificados: una para example.com y otra para *.example.com.

Terraform

Para crear una entrada de mapa de certificados con un dominio raíz, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Para crear una entrada del mapa de certificados con un dominio comodín, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada del mapa de certificados esté activa antes de adjuntar el mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a este:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o existente.

gcloud

Para adjuntar el mapa de certificados a un proxy de destino nuevo, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Reemplaza lo siguiente:

  • PROXY_NAME: Es el nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.
  • URL_MAP: El nombre del mapa de URL

Para adjuntar el mapa de certificados a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Terraform

Para adjuntar el mapa de certificados al proxy de destino, puedes usar un recurso google_compute_target_https_proxy.

Cuando configuras un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usa los certificados a los que hace referencia el mapa de certificados y omite los certificados TLS (SSL) adjuntos directamente.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.

  1. Borra el balanceador de cargas y sus recursos.

    Consulta Limpia una configuración de balanceo de cargas.

  2. Borra o desconecta el mapa de certificados del proxy.

    Para borrar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Si quieres conservar el proxy HTTPS de destino, desvincula el mapa de certificados del proxy.

    • Si hay certificados TLS (SSL) adjuntos directamente al proxy, desconectar el mapa de certificados hará que el proxy vuelva a usar esos certificados TLS (SSL) adjuntos directamente.
    • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, el mapa de certificados no se puede separar del proxy. Primero debes adjuntar al menos un certificado TLS (SSL) directamente al proxy antes de poder separar el mapa de certificados.

    Para separar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  3. Borra la entrada del mapa de certificados:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: El nombre del mapa de certificados.

  4. Borra el mapa de certificados:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

  5. Borra el certificado subido:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado.