Automatiza el ciclo de vida de los certificados para balanceadores de cargas

Aprende a usar el Administrador de certificados (2ª gen.) para automatizar el ciclo de vida de un certificado administrado por Google para un balanceador de cargas de aplicaciones global.

Antes de comenzar

  1. Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Necesitas un balanceador de cargas de aplicaciones existente con al menos un proxy HTTPS de destino. Para obtener más información, consulta Cómo elegir un balanceador de cargas.

Roles obligatorios

Para obtener los permisos que necesitas para configurar la administración del ciclo de vida, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para configurar la administración del ciclo de vida. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para configurar la administración del ciclo de vida:

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Configura la administración del ciclo de vida de los certificados

Para configurar la administración del ciclo de vida del certificado del balanceador de cargas, haz lo siguiente:

  1. En la Google Cloud consola, ve a Administrador de certificados (2ª gen.).

    Ir al Administrador de certificados (2ª gen.)

  2. En el menú de navegación, haz clic en Administrar ciclo de vida.

  3. Haz clic en la pestaña Balanceo de cargas. Aparecerá una lista de tus balanceadores de cargas.

  4. Expande la fila del balanceador de cargas para ver los certificados adjuntos.

  5. Haz clic en el nombre del proxy de destino.

  6. Haz clic en Configurar la administración del ciclo de vida. En la página, se muestra una lista de los certificados asociados que puedes agregar y quitar.

  7. Haz clic en Certificado y, luego, en Agregar certificado.

  8. Selecciona un certificado existente o crea uno nuevo.

  9. Ingresa los siguientes detalles para el certificado nuevo:

    • Nombre: Ingresa un nombre único (por ejemplo, my-lb-cert).
    • Alcance: Selecciona el alcance de distribución de claves adecuado (por ejemplo, Default).
    • Tipo de certificado: Selecciona certificados autoadministrados o administrados por Google. Para obtener más información, consulta los tipos de certificados.
    • Nombre de dominio: Ingresa el nombre de dominio que cubre este certificado (por ejemplo, app.example.com). Este dominio debe ser uno que controles.
    • Configuración de emisión: Selecciona tu configuración de emisión existente de la lista. Esta configuración dicta la autoridad certificadora, la duración y el tipo de clave.

  10. Haz clic en Crear. La consola agrega el certificado nuevo a la lista del proxy de destino.

  11. Revisa la lista de certificados y, luego, haz clic en Actualizar para aplicar los cambios al proxy de destino.

Verifica la configuración

Para verificar la configuración del certificado, haz lo siguiente:

  1. Verifica el estado del certificado. La emisión y el aprovisionamiento pueden tardar desde varios minutos hasta unas horas. El certificado comienza con el estado Pendiente.

  2. Supervisa el estado del certificado en la pestaña Certificados del Administrador de certificados (2ª gen.). Cuando el estado es Activo, el certificado está listo.

  3. Asegúrate de que los registros DNS de tu dominio apunten a la dirección IP del balanceador de cargas.

  4. Para probar la configuración, accede a tu servicio con HTTPS (por ejemplo, https://app.example.com).

Limpia

Sigue estos pasos para evitar que se apliquen cargos a tu Google Cloud cuenta de por los recursos que usaste en esta página.

  1. Quita el certificado del proxy de destino:

    1. Ve a la pestaña Administrar ciclo de vida > Balanceo de cargas de tu proxy de destino.
    2. Busca el certificado que creaste (my-lb-cert).
    3. Quita el certificado de la lista.
    4. Haz clic en Actualizar.

  2. Borra el recurso de certificado:

    1. Ve a la pestaña Certificados en el Administrador de certificados (2ª gen.).
    2. Selecciona el certificado (my-lb-cert).
    3. Haz clic en Borrar.

No es necesario que borres el balanceador de cargas, el proxy de destino ni la configuración de emisión de certificados que creaste o usaste en esta guía de inicio rápido.

¿Qué sigue?