Supervisa tus certificados

El panel de descripción general del Administrador de certificados (2ª gen.) te ayuda a mantener un entorno de certificados seguro y en buen estado. Puedes usar el panel para identificar los certificados que vencen, auditar tu postura de seguridad y hacer un seguimiento de las tendencias de emisión.

El panel de descripción general incluye los siguientes gráficos de supervisión:

  • Cantidad de certificados emitidos en los últimos 7 días: Realiza un seguimiento de la cantidad total de certificados emitidos en los últimos 7 días.
  • Certificados emitidos por tipo de autoridad: Agrupa los certificados por tipo de autoridad (pública, privada o desconocida).
  • Certificados emitidos por ubicación: Ordena los certificados geográficamente según la ubicación de implementación.
  • Certificados que vencen: Muestra los certificados que vencen en un plazo de 7 y 30 días.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Roles obligatorios

Para obtener los permisos que necesitas para supervisar certificados, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Cómo acceder al panel de descripción general

Para acceder al panel y ver las métricas de tus certificados, sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Administrador de certificados.

    Ir al panel de descripción general del Administrador de certificados

  2. Opcional: Para ajustar el intervalo de tiempo, usa el selector de hora en la parte superior derecha del panel. De forma predeterminada, en el panel, se muestran las métricas de los últimos 7 días.

Los datos del panel se actualizan cada 24 horas.

Supervisa el estado y los vencimientos de los certificados

El panel proporciona métricas enfocadas específicamente en los certificados de larga duración, que son aquellos con una vida útil superior a 72 horas.

Administrador de certificados (2ª gen.) excluye los certificados de corta duración (con una vida útil de menos de 72 horas) porque se rotan automáticamente con frecuencia y no requieren la misma supervisión manual que los certificados de larga duración.

Para supervisar los certificados que vencen y requieren intervención manual, sigue estos pasos:

  1. Ubica el gráfico Certificados que vencen en el panel.
  2. Revisa las advertencias sobre los certificados que están por vencer.
  3. Si recibes una advertencia de vencimiento, busca en tu inventario la identidad del certificado para verificar si ya hay un reemplazo. Para obtener más información, consulta Cómo filtrar el inventario de certificados.

Audita tu inventario de certificados

Usa la sección Métricas de inventario del panel para auditar los certificados activos en tu entorno durante el período seleccionado.

Para auditar tu inventario, revisa los certificados categorizados según los siguientes criterios:

  • Ver los certificados activos por recurso: Realiza un seguimiento del volumen de certificados según el recurso Google Cloud que los emitió. El Administrador de certificados (2ª gen.) identifica los certificados emitidos por la identidad para cargas de trabajo administradas o el balanceo de cargas; los demás certificados emitidos a través de Certificate Authority Service se clasifican como Sin especificar. Para obtener más información, consulta Servicios compatibles.
  • Ver los certificados activos por algoritmo de clave: Audita tus estándares criptográficos agrupando los certificados por su algoritmo de clave de hoja (por ejemplo, RSA o ECDSA). Esto garantiza el cumplimiento de las políticas de seguridad de tu organización.
  • Ver certificados activos por perfil de uso de la clave: Agrupa los certificados según su uso previsto. Administrador de certificados etiqueta los certificados según el perfil que mejor coincida. Si no se puede determinar un perfil, se etiqueta como Otro.

Para ver los certificados específicos en cualquiera de estas categorías, haz clic en Ver certificados para abrir la página de inventario.

Realiza un seguimiento de las tendencias de emisión de certificados

Usa el gráfico Métricas de emisión para supervisar cómo los servicios que configuraste generan certificados con el tiempo. Este enfoque te ayuda a hacer un seguimiento del crecimiento y a identificar posibles anomalías en la emisión.

Para hacer un seguimiento de las tendencias de emisión, supervisa las siguientes métricas:

  1. Certificados emitidos por ubicación: Observa la cantidad de certificados emitidos en cada ubicación para ver la distribución geográfica de tu volumen de certificados.
  2. Certificados emitidos por tipo de autoridad: Observa la cantidad de certificados emitidos por las CA públicas (como Public Certificate Authority) en comparación con las CA privadas (como el servicio de CA).
  3. Total de certificados emitidos: Supervisa el volumen total de certificados emitidos en el intervalo de tiempo seleccionado para comprender la escala de tu entorno.

¿Qué sigue?