Administrar entradas de mapas de certificados

Una entrada de mapa de certificados asocia un certificado con un nombre de host de destino y un mapa de certificados de destino. En esta página, se describe cómo crear y administrar entradas de mapas de certificados.

Para obtener más información, consulta Entradas del mapa de certificados.

Crea una entrada de mapa de certificados

Puedes crear una entrada de mapa de certificado y asociar un máximo de cuatro certificados a ella. Recomendamos que uses un algoritmo de clave diferente para cada certificado cuando especifiques varios certificados para un nombre de host. Por ejemplo, puedes usar ECDSA para un certificado y RSA para otro. Asociar varios certificados a una sola entrada del mapa de certificados también ayuda cuando se migran certificados autoadministrados a certificados administrados por Google.

Para obtener más información sobre cómo un balanceador de cargas selecciona certificados durante un handshake, consulta la lógica de selección de certificados.

Console

  1. En la Google Cloud consola, ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. Para crear un mapa de certificados nuevo, haz clic en Crear mapa de certificados.

    Para un mapa de certificados existente, selecciona el mapa de certificados requerido en la lista de mapas de certificados.

  3. En la página Crear mapa de certificados o en la página Editar mapa de certificados, haz clic en Agregar entrada de mapa. Se abrirá la ventana Agregar entrada de mapa.

  4. En el campo Nombre de la entrada del mapa, ingresa un nombre para la entrada del mapa de certificados, como my-cert-map-entry-01.

  5. En el campo Descripción, ingresa una descripción para la entrada del mapa de certificados, como My new cert map entry.

  6. Para que la nueva entrada del mapa de certificados sea la entrada principal de tu mapa de certificados, selecciona Entrada principal. Para obtener más información, consulta Crea una entrada de mapa de certificados principal.

    Nota: Solo puedes asociar una entrada de mapa de certificados principal con un mapa de certificados.

  7. En el campo Nombre de host, ingresa el nombre de host que deseas asociar con la entrada del mapa de certificados, como www.example.com.

    Nota: En el caso de una entrada de mapa de certificados principal, el nombre de host se especifica como <PRIMARY> de forma predeterminada y no puedes cambiarlo.

  8. Para asociar un certificado con la entrada del mapa de certificados, haz clic en Seleccionar un certificado. Puedes seleccionar un certificado existente o hacer clic en Agregar certificado para crear un certificado.

    Nota: Puedes asociar un máximo de cuatro certificados con una entrada de mapa de certificados.

  9. Para agregar una etiqueta y asociarla con la entrada del mapa de certificados, haz clic en Agregar etiqueta y, luego, ingresa una clave y un valor para tu etiqueta.

  10. Haz clic en Agregar. La entrada del mapa de certificados con sus certificados asociados se agrega al mapa de certificados.

gcloud

Para asociar varios certificados con una entrada de mapa de certificados, proporciona una lista de nombres de certificados separados por comas. Para cada subdominio, debes crear una entrada de mapa independiente.

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_NAMES: Es una lista separada por comas de los nombres de los certificados que deseas asociar con la entrada del mapa de certificados.
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

API

Para asociar varios certificados con una entrada de mapa de certificados, proporciona una lista de nombres de certificados separados por comas. Para cada subdominio, debes crear una entrada de mapa independiente.

Para crear una entrada de mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: Nombre del primer certificado que deseas asociar con la entrada del mapa de certificados
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con la entrada del mapa de certificados.

Terraform

Para crear una entrada de mapa de certificados, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Crea una entrada de mapa de certificados principal

Puedes especificar una entrada de mapa de certificados principal que un balanceador de cargas pueda entregar si el cliente no proporciona un nombre de host o si el balanceador de cargas no puede hacer coincidir el nombre de host con una entrada de mapa de certificados configurada.

Console

  1. En la Google Cloud consola, ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. Para crear un mapa de certificados nuevo, haz clic en Crear mapa de certificados.

    Para un mapa de certificados existente, selecciona el mapa de certificados requerido en la lista de mapas de certificados.

  3. Cuando agregues una nueva entrada de mapa de certificados, en la página Crear mapa de certificados, haz clic en Agregar entrada de mapa.

    Para editar una entrada existente del mapa de certificados, en la página Editar mapa de certificados, en la columna Acciones de la fila de la entrada del mapa, haz clic en el ícono y, luego, selecciona Editar.

  4. Para que una entrada de mapa de certificados sea la entrada principal de tu mapa de certificados, selecciona Entrada principal en la ventana Agregar entrada de mapa.

    Nota: Solo puedes asociar una entrada de mapa de certificados principal con un mapa de certificados.

  5. Haz clic en Guardar.

gcloud

Para crear una entrada de mapa de certificados principal, usa el comando gcloud certificate-manager maps entries create con la marca set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_NAMES: Es una lista separada por comas de los nombres de los certificados que deseas asociar con la entrada del mapa de certificados.

API

Para crear una entrada de mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_NAME1: Es el nombre del primer certificado que deseas asociar con la entrada principal del mapa de certificados.
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con la entrada del mapa de certificados principal.

Para obtener más información sobre cómo el balanceador de cargas selecciona certificados durante un handshake, consulta la lógica de selección de certificados.

Actualiza una entrada del mapa de certificados

Cuando actualizas una entrada del mapa de certificados existente, puedes hacer lo siguiente:

  • Asigna o anula la asignación de certificados
  • Cómo cambiar la descripción
  • Cómo cambiar las etiquetas

Si usas la consola de Google Cloud para actualizar una entrada del mapa de certificados, también puedes hacer lo siguiente:

  • Cambia el nombre de una entrada del mapa.
  • Si no se asigna ninguna otra entrada de mapa como entrada principal, asigna la entrada de mapa como la entrada principal del mapa de certificados.

Console

  1. En la Google Cloud consola, ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. En la lista de mapas de certificados, haz clic en el mapa de certificados requerido. Se abrirá la página Detalles del mapa de certificados.

  3. Haz clic en Editar. Se abrirá la página Editar mapa de certificados.

  4. En la columna Acciones de la fila de la entrada del mapa, haz clic en el ícono y, luego, selecciona Editar. Se abrirá la ventana Editar entrada de mapa.

  5. En el campo Nombre de la entrada del mapa, cambia el nombre de la entrada del mapa de certificados.

  6. En el campo Descripción, cambia la descripción de la entrada del mapa de certificados.

  7. Para que la entrada del mapa de certificados sea la entrada principal de tu mapa de certificados, selecciona Entrada principal. Para obtener más información, consulta Crea una entrada de mapa de certificados principal.

    Nota: Solo puedes asociar una entrada de mapa de certificados principal con un mapa de certificados.

  8. En el campo Nombre de host, cambia el nombre de host que deseas asociar con la entrada del mapa de certificados.

    Nota: En el caso de una entrada de mapa de certificados principal, el nombre de host se especifica como <PRIMARY> de forma predeterminada y no puedes cambiarlo.

  9. Para asociar un certificado con la entrada del mapa de certificados, haz clic en Seleccionar un certificado. Puedes seleccionar un certificado existente o hacer clic en Agregar certificado para crear un certificado.

    Nota: Puedes asociar un máximo de cuatro certificados con una entrada de mapa de certificados.

    Para subir o bajar el orden de un certificado, haz clic en el ícono o en el ícono del certificado requerido.

    Para borrar un certificado, haz clic en Borrar elemento en el certificado requerido.

  10. Para agregar una etiqueta y asociarla con la entrada del mapa de certificados, haz clic en Agregar etiqueta y, luego, ingresa una clave y un valor para tu etiqueta.

    Para borrar una etiqueta, haz clic en Borrar elemento en la etiqueta que quieras borrar.

  11. Haz clic en Guardar.

gcloud

Para actualizar una entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.
  • DESCRIPTION: Es la descripción de la entrada del mapa de certificados.
  • LABELS: Es una lista de etiquetas aplicadas a la entrada del mapa de certificados.

API

Para actualizar la entrada del mapa de certificados, realiza una solicitud PATCH al método certificateMaps.certificateMapEntries.patch:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_NAME: El nombre del certificado
  • DESCRIPTION: Es la descripción de la entrada del mapa de certificados.
  • LABEL_KEY: Es una clave de etiqueta aplicada a la entrada del mapa de certificados.
  • LABEL_VALUE: Es un valor de etiqueta aplicado a la entrada del mapa de certificados.

Enumera las entradas del mapa de certificados

Puedes ver, filtrar y ordenar la lista de todas las entradas del mapa de certificados que asociaste con un mapa de certificados.

Console

  1. En la consola de Google Cloud , ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. En la lista de mapas de certificados, haz clic en el mapa de certificados requerido. Se abrirá la página Detalles del mapa de certificados con información detallada sobre el mapa de certificados seleccionado y su lista asociada de entradas de mapa.

gcloud

Para enumerar las entradas de mapa de certificados asociadas con un mapa de certificados, usa el comando gcloud certificate-manager maps entries list.

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (establecido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Cantidad de resultados que deseas mostrar por página

  • LIMIT: Es la cantidad máxima de resultados que deseas devolver.

  • SORT_BY: Es una lista separada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

API

Para enumerar las entradas de mapa de certificados asociadas con un mapa de certificados, realiza una solicitud GET al método certificateMaps.certificateMapEntries.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados de destino

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (establecido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Cantidad de resultados que deseas mostrar por página

  • SORT_BY: Es una lista separada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

Consulta el estado de una entrada de mapa de certificados

Puedes ver los detalles y el estado de una entrada de mapa de certificados asociada a un mapa de certificados.

Console

  1. En la consola de Google Cloud , ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. En la lista de mapas de certificados, haz clic en el mapa de certificados requerido. Se abrirá la página Detalles del mapa de certificados con información detallada sobre el mapa de certificados seleccionado y su lista asociada de entradas de mapa.

  3. En la sección Entradas del mapa, haz clic en el nombre de la entrada del mapa que deseas ver. Se abrirá la página Detalles de entrada de mapas con información detallada sobre la entrada de mapa seleccionada.

gcloud

Para ver el estado de una entrada de mapa de certificados asociada a un mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados

El resultado es similar a lo siguiente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

API

Para ver el estado de una entrada de mapa de certificados asociada a un mapa de certificados, realiza una solicitud GET al método certificateMaps.certificateMapEntries.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados

Cómo borrar una entrada del mapa de certificados

Cuando borras una entrada del mapa de certificados, los certificados asociados a ella se desvinculan del proxy de destino.

Borrar una entrada del mapa de certificados no borra los certificados asociados deGoogle Cloud. Debes borrar esos certificados de forma manual.

Console

  1. En la Google Cloud consola, ve a la página Administrador de certificados y, luego, haz clic en la pestaña mapas de certificados.

    Ir al Administrador de certificados

  2. En la lista de mapas de certificados, haz clic en el mapa de certificados requerido. Se abrirá la página Detalles del mapa de certificados.

  3. Haz clic en Editar. Se abrirá la página Editar mapa de certificados.

  4. En la columna Acciones de la fila de entrada del mapa, haz clic en el ícono y, luego, selecciona Borrar y haz clic en Borrar.

gcloud

Para borrar una entrada de mapa de certificados asociada a un mapa de certificados, usa el comando gcloud certificate-manager maps entries delete:

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados

API

Para borrar una entrada de mapa de certificados asociada a un mapa de certificados, realiza una solicitud DELETE al método certificateMaps.certificateMapEntries.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: ID de tu proyecto de Google Cloud
  • CERTIFICATE_MAP_NAME: Nombre del mapa de certificados con el que se asocia la entrada del mapa de certificados
  • CERTIFICATE_MAP_ENTRY_NAME: Nombre de la entrada del mapa de certificados

¿Qué sigue?