En esta página, se describe cómo crear y administrar un recurso de configuración de emisión de certificados.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Configuraciones de emisión de certificados.
Crea un recurso de configuración de emisión de certificados
Antes de crear el recurso de configuración de emisión, configura la integración de CA Service con Administrador de certificados.
Para crear un recurso de configuración de emisión de certificados, especifica la vida útil del certificado, el porcentaje de la ventana de rotación, el algoritmo de clave y el grupo de CA que se usará.
Aunque uses un grupo de CA regional para emitir un certificado TLS administrado por Google, el certificado se puede usar de forma global.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Administrador de certificados.
Haz clic en Crear. Aparecerá la página Create a Certificate Issuance Config.
En el campo Nombre, ingresa un nombre único para el recurso de configuración de emisión de certificados.
Opcional: En el campo Descripción, ingresa una descripción para la configuración de emisión.
En Ubicación, selecciona Global o Regional. Si seleccionaste Regional, selecciona la misma Región que tu certificado y grupo de AC.
En el campo Duración, especifica la duración del certificado emitido en días. El valor debe estar entre 21 y 30 días (inclusive).
En Porcentaje del período de rotación, especifica el porcentaje de la vida útil del certificado en el que comienza su proceso de renovación. Para encontrar el rango de valores válidos, consulta Porcentaje de ventana de rotación y duración.
En la lista Key algorithm, selecciona el algoritmo de clave que se usará cuando se genere la clave privada.
En la lista Grupo de CA, selecciona el nombre del grupo de CA que se asignará a este recurso de configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
Haz clic en Crear.
gcloud
Para crear un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs create:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.CA_POOL: Es la ruta de acceso y el nombre completos del recurso del grupo de CA que deseas asignar al recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME: Es la duración del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es 30 días (30D). Esta marca es opcional.ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil restante del certificado antes de la renovación. El valor predeterminado es 66%. Para encontrar el rango de valores válidos, consulta [Porcentaje de ventana de rotación y ciclo de vida](#lifetime-rotation-percentage). Esta marca es opcional.KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256orsa-2048. El valor predeterminado esrsa-2048. Esta marca es opcional.LOCATION: Es la ubicación Google Cloud de destino.
API
Para crear el recurso de configuración de emisión de certificados, realiza una solicitud POST al método certificateIssuanceConfigs.create de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la ubicación Google Cloud de destino.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.DESCRIPTION: Es una descripción significativa del recurso de configuración de emisión de certificados.CA_POOL: Es la ruta de acceso y el nombre completos del recurso del grupo de CA que deseas asignar al recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME: Es la duración del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es 30 días (30D). Esta marca es opcional.ROTATION_WINDOW_PERCENTAGE: Es el porcentaje de la vida útil restante del certificado antes de la renovación. El valor predeterminado es 66%. Para encontrar el rango de valores válidos, consulta [Porcentaje de ventana de rotación y ciclo de vida](#lifetime-rotation-percentage). Esta marca es opcional.KEY_ALGORITHM: Es el algoritmo de encriptación que se usa para generar la clave privada. Los valores válidos sonecdsa-p256orsa-2048. El valor predeterminado esrsa-2048. Esta marca es opcional.
Porcentaje de vida útil y ventana de rotación
Cuando creas un recurso de configuración de emisión de certificados, también defines la vida útil del certificado en el campo Lifetime y cuándo comienza el proceso de renovación del certificado antes de que venza en el campo Rotation window percentage.
Para asegurarte de que el certificado se renueve al menos siete días antes de su vencimiento y siete días después de su emisión, establece el porcentaje del período de rotación en relación con la vida útil del certificado. Para calcular el rango permitido del porcentaje de la ventana de rotación, usa las siguientes fórmulas:
- Valor mínimo: Porcentaje de ventana de rotación ≥ (7 / Vida útil) * 100
- Valor máximo: Porcentaje de la ventana de rotación ≤ ( (Vida útil - 7) / Vida útil) * 100
En las fórmulas anteriores, 7 equivale a siete días.
Si el valor mínimo es decimal, redondéalo hacia arriba al número entero más cercano. Si el valor máximo es un valor decimal, redondéalo hacia abajo al número entero más cercano.
Actualiza una configuración de emisión de certificados
Cuando actualizas una configuración de emisión de certificados, puedes hacer lo siguiente:
- Cómo especificar etiquetas nuevas
- Especifica una descripción nueva
gcloud
Para actualizar un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs update:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME: Es el nombre de la configuración de emisión de certificados de destino que deseas actualizar.LABELS: Son las etiquetas que deseas especificar para la configuración de emisión de certificados. Las etiquetas deben especificarse en una lista delimitada por comas como paresKEY=VALUE. Este campo es opcional.DESCRIPTION: Es la descripción de la configuración de emisión de certificados. Este campo es opcional.
API
Usa el método certificateIssuanceConfigs.patch para actualizar una configuración de emisión de certificados:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.ISSUANCE_CONFIG_NAME: Es el nombre de la configuración de emisión de certificados de destino que deseas actualizar.LABEL_KEY: Es la clave de la etiqueta. Este campo es opcional.LABEL_VALUE: Es el valor de la etiqueta. Este campo es opcional.DESCRIPTION: Es la configuración de emisión de certificados.
Enumera las configuraciones de emisión de certificados
Puedes ver todos los recursos de configuración de emisión de certificados de tu proyecto y sus detalles.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Administrador de certificados.
Ir al Administrador de certificados
En la pestaña Configuración de emisión, se muestran todos los recursos de configuración de emisión de certificados que administra Administrador de certificados en el proyecto seleccionado.
gcloud
Para enumerar los recursos de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs list:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Reemplaza lo siguiente:
FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para obtener más ejemplos de filtros que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Cantidad de resultados que deseas mostrar por páginaLIMIT: Es la cantidad máxima de resultados que deseas devolver.SORT_BY: Es una lista separada por comas de los camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).LOCATION: Es la ubicación Google Cloud de destino.
API
Para enumerar los recursos de configuración de emisión de certificados configurados, realiza una solicitud LIST al método certificateIssuanceConfigs.list de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para obtener más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Cantidad de resultados que deseas mostrar por páginaSORT_BY: Es una lista separada por comas de los camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).
Visualiza el estado de un recurso de configuración de emisión de certificados
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Administrador de certificados.
Haz clic en el nombre del recurso de configuración de emisión de certificados que deseas ver. En la página Certificate Issuance Config, se muestra información detallada sobre el recurso de configuración de emisión de certificados.
gcloud
Para ver el estado de un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs describe:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Reemplaza ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
API
Para ver el estado del recurso de configuración de emisión de certificados, realiza una solicitud GET al método certificateIssuanceConfigs.get de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
Borra un recurso de configuración de emisión de certificados
Antes de borrar un recurso de configuración de emisión de certificados, primero debes borrar el certificado administrado por Google que hace referencia a él.
Para inhabilitar la última CA que habilitaste en un grupo de CA al que se hace referencia en el recurso de configuración de emisión de certificados o para borrar el grupo de CA por completo, primero debes borrar todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de CA.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de emisión en la página Administrador de certificados.
Selecciona la casilla de verificación de la configuración de emisión que deseas borrar.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
Para borrar un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs delete:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Reemplaza lo siguiente:
ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.LOCATION: Es la ubicación Google Cloud de destino.
API
Borra el recurso de configuración de emisión de certificados con una solicitud DELETE al método certificateIssuanceConfigs.delete de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
¿Qué sigue?
- Administrar certificados
- Administra mapas de certificados
- Administra entradas de mapas de certificados
- Administra las autorizaciones de DNS