En esta página, se describe cómo crear y administrar configuraciones de confianza para usarlas en diversas situaciones de autenticación TLS mutua (mTLS).
Para obtener más información sobre mTLS, consulta los siguientes recursos:
Para comprender los conceptos de parámetros de configuración de confianza, entidades de certificación raíz y certificados intermedios, consulta Parámetros de configuración de confianza.
Para obtener más información sobre mTLS, consulta Descripción general de TLS mutua en la documentación de Cloud Load Balancing.
Para usar un archivo de configuración de confianza y configurar mTLS en tu proxy de destino, consulta las siguientes páginas de la documentación de Cloud Load Balancing:
Crea una configuración de confianza
Cuando creas una configuración de confianza, debes especificar las anclas de confianza que se usan para validar el certificado.
Para crear una configuración de confianza, completa los siguientes pasos:
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de confianza en la página Administrador de certificados.
Haz clic en Add Trust Config. Aparecerá la página Create Trust Config.
En el campo Nombre, ingresa un nombre para la configuración.
El nombre debe ser único para el proyecto. Además, debe comenzar con una letra minúscula, seguida por hasta 62 letras minúsculas, números o guiones, y no debe terminar con un guion.
Opcional: En el campo Descripción, ingresa una descripción para la configuración. Esta descripción te ayudará a identificar una configuración específica más adelante.
Opcional: En el campo Etiquetas, especifica las etiquetas que se asociarán a la configuración de confianza. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En Ubicación, selecciona Global o Regional.
Si seleccionaste Regional, selecciona la Región.
En la sección Almacén de confianza, agrega anclas de confianza y AC intermedias.
Puedes especificar varias entidades de certificación raíz y certificados intermedios usando varias instancias de la carga útil PEM completa para el certificado, un certificado por instancia.
En la sección Anclas de confianza, haz clic en Agregar ancla de confianza y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Cuando termines, haz clic en Agregar.
Opcional: En la sección ACs intermedias, haz clic en Agregar AC intermedia y sube el archivo de certificado intermedio con codificación PEM o copia el contenido del certificado intermedio. Cuando termines, haz clic en Agregar.
Este paso te permite agregar otro nivel de confianza entre el certificado raíz y el certificado del servidor.
Opcional: En la sección Certificados incluidos en la lista de entidades permitidas, haz clic en Agregar certificado y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Esto agrega el certificado a una lista de entidades permitidas. Cuando termines, haz clic en Agregar.
Para especificar varios certificados intermedios o anclajes de confianza dentro de la especificación del recurso de configuración de confianza, usa varias instancias del campo
pemCertificate. Cada instancia del campo contiene un solo certificado.La configuración de confianza siempre considera válido un certificado en una lista de entidades permitidas. Para encapsular varios certificados en una lista de entidades permitidas, usa varias instancias del campo
pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados agregados a una lista de entidades permitidas.La configuración de confianza siempre considera válido un certificado en una lista de entidades permitidas si cumple con condiciones específicas: debe ser analizable, poseer una prueba de propiedad de la clave privada y cumplir con las restricciones en el campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468.
Haz clic en Crear.
Verifica que la nueva configuración de confianza aparezca en la lista de configuraciones.
gcloud
Crea un archivo YAML de configuración de confianza que especifique los parámetros de configuración de confianza.
El archivo tiene el siguiente formato:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Reemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.CERTIFICATE_PEM_PAYLOAD: Es la carga útil PEM completa del certificado que se usará para el recurso de configuración de confianza.INTER_CERT_PEM_PAYLOAD: Es la carga útil PEM completa del certificado intermedio que se usará para el recurso de configuración de confianza.ALLOWLISTED_CERT1yALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza.
Para especificar varios certificados intermedios o anclajes de confianza dentro de la especificación del recurso de configuración de confianza, usa varias instancias del campo
pemCertificate. Cada instancia del campo contiene un solo certificado.La configuración de confianza siempre considera válido un certificado en una lista de entidades permitidas. Para encapsular varios certificados en una lista de entidades permitidas, usa varias instancias del campo
pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados agregados a una lista de entidades permitidas.La configuración de confianza siempre considera válido un certificado en una lista de entidades permitidas si cumple con condiciones específicas: debe ser analizable, poseer una prueba de propiedad de la clave privada y cumplir con las restricciones en el campo SAN del certificado. Los certificados vencidos también se consideran válidos cuando se agregan a una lista de entidades permitidas. Para obtener más información sobre el formato con codificación PEM, consulta RFC 7468.
Para importar el archivo YAML de configuración de confianza, usa el comando
gcloud certificate-manager trust-configs import:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Reemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.PROJECT_ID: Es el ID de tu Google Cloud proyecto.TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza que creaste en el paso 1.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.
API
Realiza una solicitud POST al método trustConfigs.create:
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.CERTIFICATE_PEM_PAYLOAD: Es la carga útil PEM completa del certificado que se usará para el recurso de configuración de confianza.INTER_CERT_PEM_PAYLOAD: Es la carga útil PEM completa del certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.
Actualiza una configuración de confianza
Para actualizar una configuración de confianza, crea otro archivo YAML de configuración de confianza que especifique los nuevos parámetros de configuración de confianza y, luego, importa este archivo en Administrador de certificados.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de confianza en la página Administrador de certificados.
Ubica y selecciona la configuración de confianza que quieras actualizar.
En la columna Más opciones, haz clic en Más acciones para la configuración que deseas actualizar y, luego, selecciona Editar.
Realiza los cambios necesarios.
Haz clic en Guardar.
Verifica que se hayan actualizado los cambios de configuración.
gcloud
Exporta el archivo YAML de configuración de confianza.
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATIONReemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.PROJECT_ID: Es el ID de tu Google Cloud proyecto.TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.
Edita el archivo YAML de configuración de confianza.
El archivo tiene el siguiente formato:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Reemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.CERTIFICATE_PEM_PAYLOAD: Es la carga útil PEM completa del certificado que se usará para el recurso de configuración de confianza.INTER_CERT_PEM_PAYLOAD: Es la carga útil PEM completa del certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.ALLOWLISTED_CERT1yALLOWLISTED_CERT2: Son los certificados que se agregan a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.
Importa el nuevo archivo de configuración de confianza en el Administrador de certificados con el nombre del recurso de configuración de confianza existente.
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATIONReemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.PROJECT_ID: Es el ID de tu Google Cloud proyecto.TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del archivo YAML de configuración de confianza.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.
API
Realiza una solicitud PATCH al método trustConfigs.update:
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.DESCRIPTION: Es una descripción significativa para este recurso de configuración de confianza. Esta descripción es opcional.CERTIFICATE_PEM_PAYLOAD: Es la carga útil PEM completa del certificado que se usará para el recurso de configuración de confianza.INTER_CERT_PEM_PAYLOAD: Es la carga útil PEM completa del certificado intermedio que se usará para el recurso de configuración de confianza. Este valor es opcional.ALLOWLISTED_CERT: Es el certificado que se agrega a una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.
Enumera los parámetros de configuración de confianza
Puedes ver todos los parámetros de configuración de confianza configurados de tu proyecto.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de confianza en la página Administrador de certificados.
En la pestaña Configuraciones de confianza, puedes ver una lista de todos los recursos de configuración de confianza configurados en el proyecto seleccionado.
gcloud
Usa el comando gcloud certificate-manager trust-configs list:
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
Reemplaza lo siguiente:
FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para obtener más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Cantidad de resultados que deseas mostrar por páginaLIMIT: Es la cantidad máxima de resultados que deseas devolver.SORT_BY: Es una lista separada por comas de los camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. Para enumerar las configuraciones de confianza de todas las regiones, usa-como valor. El valor predeterminado es-. Esta marca es opcional.
API
Realiza una solicitud GET al método trustConfigs.list:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. Para ver todas las configuraciones de confianza en todas las ubicaciones, especifica un solo guion (-).FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por las etiquetas y la hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para obtener más ejemplos de filtros que puedes usar con Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.
PAGE_SIZE: Cantidad de resultados que deseas mostrar por páginaSORT_BY: Es una lista separada por comas de los camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).
Cómo ver la configuración de confianza
Puedes ver los detalles de una configuración de confianza específica.
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de confianza en la página Administrador de certificados.
Haz clic en el recurso de configuración de confianza que deseas ver. En la página Detalles del parámetro de configuración de confianza, se muestra información detallada sobre el recurso de configuración de confianza seleccionado.
gcloud
Usa el comando gcloud certificate-manager trust-configs describe:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
Reemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.
API
Realiza una solicitud GET al método trustConfigs.get:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.
Borra una configuración de confianza
Antes de borrar una configuración de confianza, desvincula la configuración de confianza del recurso de autenticación de cliente (ServerTlsPolicy).
Console
En la consola de Google Cloud , ve a la pestaña Configuraciones de confianza en la página Administrador de certificados.
Selecciona la casilla de verificación de la configuración de confianza que deseas borrar.
Haz clic en Borrar.
En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.
gcloud
Usa el comando gcloud certificate-manager trust-configs delete:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
Reemplaza lo siguiente:
TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.
API
Realiza una solicitud DELETE al método trustConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.LOCATION: Es la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada esglobal.TRUST_CONFIG_ID: Es el ID del recurso de configuración de confianza.
¿Qué sigue?
- Administrar certificados
- Administra mapas de certificados
- Administra entradas de mapas de certificados
- Administra las autorizaciones de DNS
- Administra recursos de configuración de emisión de certificados