Cómo migrar certificados de terceros al Administrador de certificados

En este instructivo, se muestra cómo migrar certificados de terceros a un balanceador de cargas deGoogle Cloud con el Administrador de certificados.

Para migrar certificados de terceros sin tiempo de inactividad, crea la misma cantidad de certificados administrados por Google que certificados de terceros. A continuación, consolida los certificados en un solo mapa de certificados y, luego, implementa el mapa de certificados en un balanceador de cargas con DNS. Por último, actualiza los registros A y AAAA del DNS para que apunten a la dirección IP del balanceador de cargas.

Para encontrar la lista de balanceadores de cargas compatibles, consulta la descripción general del Administrador de certificados.

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

• Crea certificados administrados por Google con autorización de DNS.
• Crea un mapa de certificados para todos los certificados.
• Implementa certificados en tu balanceador de cargas con DNS.
• Actualiza los registros A y AAAA de DNS para que apunten a la dirección IP del balanceador de cargas.

Antes de comenzar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Compute Engine, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Roles obligatorios

Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

• Propietario del Administrador de certificados (roles/certificatemanager.owner)

  Se requiere para crear y administrar recursos de Certificate Manager.

• Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) o administrador de redes de Compute (roles/compute.networkAdmin)

  Se requiere para crear y administrar el proxy HTTPS de destino.

• Administrador de DNS (roles/dns.admin)

  Se requiere si deseas usar Cloud DNS como tu solución de DNS.

Para obtener más información, consulta lo siguiente:

• Roles y permisos para Certificate Manager
• Roles y permisos de IAM de Compute Engine para Compute Engine
• Roles y permisos de Cloud DNS

Crea certificados administrados por Google

Crea la misma cantidad de certificados administrados por Google con autorización de DNS (recomendado) o certificados autoadministrados que certificados de terceros. Antes de crear los certificados, crea una autorización de DNS y agrega el registro CNAME a la zona DNS autorizada de tu dominio.

En esta sección, se enumeran los pasos y los comandos para crear certificados administrados por Google globales. Para crear certificados administrados por Google regionales o entre regiones, consulta Crea un certificado administrado por Google.

Crea una autorización de DNS

Una autorización de DNS solo abarca un nombre de dominio. Debes crear una autorización de DNS independiente para cada nombre de dominio que quieras usar con el certificado de destino.

Si creas una autorización de DNS para un certificado comodín, como *.myorg.example.com, configura la autorización de DNS para el dominio principal, por ejemplo, myorg.example.com.

Console

Puedes crear una autorización de DNS o adjuntar una existente cuando crees un certificado. Para obtener más información, consulta Crea un certificado administrado por Google que haga referencia a la autorización de DNS.

gcloud

Puedes crear dos tipos de autorizaciones de DNS: FIXED_RECORD o PER_PROJECT_RECORD. Para obtener más información, consulta Autorización de DNS.

Autorización de DNS de FIXED_RECORD

Para crear una autorización de DNS de FIXED_RECORD, usa el siguiente comando gcloud certificate-manager dns-authorizations create:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type=[FIXED_RECORD]

Reemplaza lo siguiente:

• AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
• DOMAIN_NAME: Es el nombre del dominio objetivo para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Después de crear la autorización de DNS FIXED_RECORD, verifícala con el comando gcloud certificate-manager dns-authorizations describe:

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME

El resultado es similar al siguiente. En el resultado, busca la sección dnsResourceRecord. Ubica el registro CNAME y agrega los detalles del registro (data, name y type) a tu configuración de DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.myorg.example.com.
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Autorización de DNS PER_PROJECT_RECORD

Para crear una autorización de DNS de PER_PROJECT_RECORD, usa el siguiente comando gcloud certificate-manager dns-authorizations create:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type=PER_PROJECT_RECORD

Reemplaza lo siguiente:

• AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
• DOMAIN_NAME: Es el nombre del dominio objetivo para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Después de crear la autorización de DNS PER_PROJECT_RECORD, verifícala con el comando gcloud certificate-manager dns-authorizations describe:

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME

El resultado es similar al siguiente. En el resultado, busca la sección dnsResourceRecord. Ubica el registro CNAME y agrega los detalles del registro (data, name y type) a tu configuración de DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform

Para crear una autorización de DNS, puedes usar un recurso google_certificate_manager_dns_authorization.

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "${local.name}-dnsauth-${random_id.tf_prefix.hex}"
  description = "The default dns auth"
  domain      = local.domain
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear una autorización de DNS, realiza una solicitud POST al método dnsAuthorizations.create:

POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
  "domain": "DOMAIN_NAME",
  "type": "PER_PROJECT_RECORD" //optional
}

Reemplaza lo siguiente:

• PROJECT_ID: Es el ID del proyecto de Google Cloud .
• AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
• DOMAIN_NAME: Es el nombre del dominio objetivo para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Crea un certificado administrado por Google que haga referencia a la autorización de DNS

Para crear un certificado global administrado por Google que haga referencia a la autorización de DNS que creaste en los pasos anteriores, haz lo siguiente:

Console

1. En la consola de Google Cloud , ve a la página Certificate Manager.

   Ir al Administrador de certificados

2. En la pestaña Certificados, haz clic en Agregar certificado.

3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

5. En Ubicación, selecciona Global.

6. En Permiso, selecciona Predeterminado.

7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

8. En Tipo de autoridad certificadora, selecciona Pública.

9. En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. El nombre de dominio también puede ser un nombre de dominio comodín, como *.example.com.

10. En Tipo de autorización, selecciona Autorización de DNS.

    En la página, se enumeran las autorizaciones de DNS de los nombres de dominio. Si un nombre de dominio no tiene una autorización de DNS asociada, sigue estos pasos para crear una:

    1. Haz clic en Crear la autorización de DNS faltante.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de la autorización de DNS. El tipo de autorización de DNS predeterminado es FIXED_RECORD. Para administrar certificados de forma independiente en varios proyectos, selecciona la casilla de verificación Autorización por proyecto.
    3. Haz clic en Crear autorización de DNS.

11. En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en add_boxAgregar etiqueta y especifica una clave y un valor para tu etiqueta.

12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado administrado por Google global con autorización de DNS, ejecuta el comando certificate-manager certificates create con la marca dns-authorizations:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME,*.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Reemplaza lo siguiente:

• CERTIFICATE_NAME: Es el nombre del certificado.
• DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de asterisco y punto (*.) indica un certificado comodín.
• AUTHORIZATION_NAMES: Es una lista delimitada por comas de los nombres de las autorizaciones de DNS que creaste para el certificado.

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Reemplaza lo siguiente:

• PROJECT_ID: Es el ID del proyecto de Google Cloud .
• CERTIFICATE_NAME: Es el nombre del certificado.
• DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de punto y asterisco (*.) significa un certificado comodín.
• AUTHORIZATION_NAMES: Es una lista delimitada por comas de los nombres de las autorizaciones de DNS.

Agrega el registro CNAME a tu configuración de DNS

Si usas una solución de DNS externa para administrar tu DNS, consulta su documentación para agregar el registro CNAME a la configuración de DNS. Si usasGoogle Cloud para administrar tu DNS, completa los pasos de esta sección.

Console

Para crear un conjunto de registros, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Zonas de DNS.

   Ir a Zonas de Cloud DNS

2. Haz clic en el nombre de la zona de DNS en la que deseas agregar el registro.

3. En la página Detalles de la zona, haz clic en Agregar estándar.

4. En la página Crear un conjunto de registros, ingresa el subdominio de la zona de DNS en el campo Nombre de DNS.

   Cuando ingreses el nombre del subdominio, asegúrate de que el nombre del subdominio, incluido el texto atenuado que se muestra en el campo Nombre de DNS, coincida con el valor completo del campo dnsResourceRecord.name, tal como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

   Consulta los ejemplos siguientes:

   • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto atenuado en el campo Nombre de DNS es .example.com., ingresa _acme-challenge.myorg.

   • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto atenuado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge.

   • Si el valor del campo dnsResourceRecord.name es _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. y el texto atenuado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge_ujmmovf2vn55tgye.

5. En el campo Tipo de registro del recurso, selecciona CNAME.

6. En el campo TTL, ingresa un valor numérico positivo para el tiempo de actividad del registro de recursos. Este valor indica el tiempo que se puede almacenar en caché.

7. En la lista Unidad TTL, selecciona la unidad de tiempo, por ejemplo, 30 minutes.

8. En el campo Nombre canónico, ingresa el valor completo del campo dnsResourceRecord.data tal como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

9. Para ingresar información adicional, haz clic en Agregar elemento.

10. Haz clic en Crear.

gcloud

Cuando creas una autorización de DNS, el comando de gcloud CLI devuelve el registro CNAME correspondiente. Para agregar el registro CNAME a tu configuración de DNS en la zona del DNS del dominio de destino, sigue estos pasos:

1. Inicia la transacción del registro DNS:

   gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
   

   Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

2. Agrega el registro CNAME a la zona del DNS de destino:

   gcloud dns record-sets transaction add CNAME_RECORD \
       --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \
       --ttl="30" \
       --type="CNAME" \
       --zone="DNS_ZONE_NAME"
   

   Reemplaza lo siguiente:

   • CNAME_RECORD: Es el valor de datos completo del registro CNAME que muestra el comando de Google Cloud CLI que creó la autorización de DNS correspondiente.
   • VALIDATION_SUBDOMAIN_NAME: Es el subdominio de prefijo de la zona DNS, como _acme-challenge. Puedes copiar el nombre del registro de comandos gcloud certificate-manager dns-authorizations describe, como se describe en Crea una autorización de DNS.
   • DOMAIN_NAME: Es el nombre del dominio de destino.El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. También debes incluir el punto final después del nombre de dominio de destino.
   • DNS_ZONE_NAME: Es el nombre de la zona DNS de destino.

   Para obtener más información sobre la diferencia entre las autorizaciones de DNS de FIXED_RECORD y PER_PROJECT_RECORD, consulta los siguientes ejemplos. La única diferencia entre los dos ejemplos es el valor de la marca --name.

   Autorización de DNS de FIXED_RECORD

   gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
       --name="_acme-challenge.myorg.example.com." \
       --ttl="30" \
       --type="CNAME" \
       --zone="myorg-example-com"
   

   Autorización de DNS PER_PROJECT_RECORD

   gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
       --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com." \
       --ttl="30" \
       --type="CNAME" \
       --zone="myorg-example-com"
   

3. Ejecuta la transacción del registro DNS para guardar los cambios:

   gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
   

   Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

Terraform

Para agregar el registro CNAME a tu configuración de DNS, puedes usar un recurso google_dns_record_set.

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

Verifica el estado del certificado

Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

Console

1. En la consola de Google Cloud , ve a la página Certificate Manager.

   Ir al Administrador de certificados

2. En la pestaña Certificados, consulta la columna Estado del certificado.

gcloud

Para verificar el estado del certificado, ejecuta el siguiente comando:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado administrado por Google de destino.

El resultado es similar a lo siguiente:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  dnsAuthorizations:
    - projects/myProject/locations/global/dnsAuthorizations/myCert
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  -   myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Si el estado del certificado no es ACTIVE después de varias horas, verifica que hayas agregado correctamente el registro CNAME a tu configuración de DNS.

Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.

Implementa el certificado en un balanceador de cargas

Para implementar un certificado global administrado por Google, sigue los pasos de esta sección y usa un mapa de certificados para implementarlo.

Para implementar el certificado administrado por Google en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional, o en un balanceador de cargas de aplicaciones interno entre regiones, conéctalo directamente al proxy de destino.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada del mapa de certificados asociada con tu certificado:

gcloud

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados de destino.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

• CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
• CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
• CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

• HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

  Si deseas crear un certificado que abarque tanto un dominio comodín como un dominio raíz, especifica el nombre de host con un comodín y una raíz, como example.com y *.example.com. Además, debes especificar dos entradas de mapa de certificados: una para example.com y otra para *.example.com.

Terraform

Para crear una entrada de mapa de certificados con un dominio raíz, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Para crear una entrada del mapa de certificados con un dominio comodín, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada del mapa de certificados esté activa antes de adjuntar el mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

• CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
• CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a lo siguiente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o existente.

gcloud

Para adjuntar el mapa de certificados a un proxy de destino nuevo, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Reemplaza lo siguiente:

• PROXY_NAME: Es el nombre del proxy de destino.
• CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.
• URL_MAP: el nombre del mapa de URLs

Para adjuntar el mapa de certificados a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Terraform

Para adjuntar el mapa de certificados al proxy de destino, puedes usar un recurso google_compute_target_https_proxy.

Cuando configuras un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usa los certificados a los que hace referencia el mapa de certificados y omite los certificados TLS (SSL) adjuntos directamente.

Prueba los certificados implementados

Para cada certificado que implementaste, prueba la conectividad con cada dominio cubierto por el certificado en la dirección IP del balanceador de cargas con el siguiente comando:

openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

Reemplaza lo siguiente:

• DOMAIN_NAME: El nombre del dominio objetivo
• IP_ADDRESS: La dirección IP de tu balanceador de cargas

Para obtener más información sobre cómo probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

Actualiza los registros DNS

Transfiere el tráfico de tu servicio de terceros a Cloud Load Balancing. Consulta Actualiza los registros A y AAAA de DNS para que apunten a la dirección IP del balanceador de cargas.

¿Qué sigue?

• Administrar certificados
• Administra mapas de certificados
• Administra las autorizaciones de DNS
• Administra recursos de configuración de emisión de certificados