Emitir un certificado con la Google Cloud consola

Antes de empezar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Crear un grupo de autoridades de certificación

Un grupo de AC es una colección de varias ACs. Un pool de CAs permite rotar cadenas de confianza sin que se produzcan interrupciones ni periodos de inactividad en las cargas de trabajo. Un pool de ACs se encuentra en una sola Google Cloud ubicación que no puedes cambiar después de crearlo.

Para crear un grupo de autoridades de certificación con la configuración predeterminada, haz lo siguiente:

1. Ve a la página Servicio de autoridad de certificación de la Google Cloud consola.

   Ir al Servicio de Autoridades de Certificación

2. En la pestaña Gestor de grupos de ACs, haz clic en add_boxCrear grupo.

3. En la página Crear grupo de autoridades de certificación, añade un nombre al grupo.

4. Haz clic en Región y selecciona us-east1 (Carolina del Sur) como región del pool de CAs.

5. Haz clic en Siguiente en cada paso.

6. Haz clic en Listo.

Puedes ver este grupo de ACs en la lista de grupos de ACs de la pestaña Gestor de grupos de ACs.

Crear una CA raíz

Un grupo de AC está vacío al crearse. Debes añadir una AC al grupo de ACs para solicitar certificados.

Una AC raíz tiene un certificado autofirmado que reside en el almacén de confianza del cliente. En esta sección se explica cómo añadir una CA raíz al grupo de CAs que has creado.

Para añadir una AC raíz a tu grupo de ACs, sigue estos pasos:

1. En la página Servicio de autoridad de certificación, haz clic en Gestor de ACs.
2. Haz clic en la flecha del menú desplegable Crear AC arrow_drop_down y, a continuación, selecciona Crear AC en un grupo de ACs.
3. Seleccione el grupo de CAs que ha creado en el paso anterior.
4. Haz clic en Continuar.
5. En la sección Seleccionar tipo de CA, haga clic en Continuar.
6. En el campo Organización (O), introduce el nombre de tu organización.
7. En el campo Nombre común de la autoridad de certificación (NC), introduce el nombre de la autoridad de certificación. Anota el nombre de la CA, ya que lo necesitarás para solicitar un certificado.
8. Haga clic en Continuar en cada paso.
9. Revisa los detalles de la autoridad certificadora y haz clic en Hecho.

Opcional: Crear un grupo de autoridades de certificación subordinadas

Un grupo de ACs subordinadas te permite organizar y gestionar varias ACs subordinadas. La AC raíz valida y firma todas las AC de un grupo de ACs subordinadas.

Para crear un grupo de ACs subordinadas con la configuración predeterminada, sigue estos pasos:

1. En la página Servicio de Autoridad de Certificación, haz clic en Gestor de grupos de AC.
2. Haz clic en add_boxCrear pool.

3. En la página Crear grupo de autoridades de certificación, añade un nombre para el grupo de autoridades de certificación subordinadas.

4. Haga clic en Región y seleccione us-east1 (Carolina del Sur) como región del grupo de CAs subordinado.

5. Haz clic en Siguiente en cada paso.

6. Haz clic en Listo.

Asegúrate de que el grupo de AC subordinada esté disponible en la lista de grupos de AC de la pestaña Gestor de grupos de AC.

Opcional: Crea una AC subordinada firmada por una AC raíz almacenada en Google Cloud

Las CAs subordinadas son responsables de distribuir certificados a las entidades finales que los necesiten, como servidores web, usuarios y dispositivos. Las CAs subordinadas crean una capa de separación entre la CA raíz, que es muy sensible, y la emisión de certificados diaria.

Para generar una CA subordinada firmada por una CA raíz que hayas creado anteriormente, sigue estos pasos:

1. En la página Servicio de autoridad de certificación, haz clic en Gestor de ACs.
2. Haz clic en la flecha del menú desplegable Crear AC arrow_drop_down y, a continuación, selecciona Crear AC en un grupo de ACs.
3. Selecciona el grupo de AC subordinada que has creado.
4. Haz clic en Continuar.
5. Haz clic en Autoridad de certificación subordinada.
6. Haz clic en La AC raíz está en Google Cloud.
7. En el campo Signing Certificate Authority (Autoridad de certificación de firma), haz clic en Browse (Buscar).
8. En el cuadro de diálogo Seleccionar una AC, selecciona la AC raíz que has creado en la sección anterior.
9. Haz clic en Confirmar.
10. En el campo Válido durante, introduce la duración durante la que quieres que sea válido el certificado de AC subordinada.
11. Haz clic en Continuar.
12. En el campo Organización (O), introduce el nombre de tu organización.
13. En el campo Nombre común de la autoridad de certificación (NC), introduce el nombre de la AC subordinada. Anota el nombre de la CA subordinada, ya que lo necesitarás para solicitar un certificado.
14. Haga clic en Continuar en cada paso.
15. Revisa los detalles de la CA subordinada y haz clic en Hecho.

Solicitar un certificado

Para solicitar un certificado mediante la AC, haz lo siguiente:

1. En la página Autoridad de certificación, haz clic en Solicitar un certificado.

2. Haz clic en Introducir detalles.

   

3. En Add domain name (Añadir nombre de dominio), introduce el nombre de dominio completo del sitio que quieres proteger con este certificado.

4. Haz clic en Siguiente.

5. En Configurar el tamaño de clave y el algoritmo, haga clic en Continuar.

   Verás el certificado generado, que podrás copiar o descargar. Para copiar el certificado, haz clic en content_copy.

   

6. Haz clic en Listo.

Limpieza

Para terminar, revoca el certificado y elimina el grupo de AC, la AC y el proyecto que has creado para esta guía de inicio rápido.

1. Revoca el certificado.

   1. Haga clic en la pestaña Gestor de certificados privados.
   2. En la lista de certificados, haz clic en more_vertVer más en la fila del certificado que quieras eliminar.
   3. Haz clic en Revocar.
   4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

2. Elimina la AC.

   Solo puedes eliminar una AC después de revocar todos los certificados que haya emitido.

   Una vez que hayas revocado el certificado, haz lo siguiente:

   1. En la lista de autoridades de certificación, selecciona la que quieras eliminar.
   2. Haz clic en deleteEliminar. Aparecerá el cuadro de diálogo Eliminar autoridad de certificación.
   3. Opcional: Marca una o ambas casillas siguientes si se aplican a tu caso:

      • Eliminar esta AC, aunque haya certificados activos

        Esta opción te permite eliminar una AC con certificados activos. Si eliminas una AC con certificados activos, es posible que los sitios web, las aplicaciones o los sistemas que dependan de esos certificados fallen. Te recomendamos que revoques todos los certificados activos emitidos por una CA antes de eliminarla.

      • Saltarme el periodo de gracia de 30 días y eliminar esta AC inmediatamente

        El periodo de gracia de 30 días te da tiempo para revocar todos los certificados emitidos por esta CA y verificar que ningún sistema depende de ella. Te recomendamos que uses esta opción solo en entornos de prueba o que no sean de producción para evitar posibles interrupciones y pérdida de datos.

   4. Haz clic en Confirmar.

   El estado de la AC cambia a Deleted. La AC se elimina definitivamente 30 días después de que inicies la eliminación.

3. Elimina el grupo de ACs.

   Solo puedes eliminar un grupo de AC después de que el servicio de AC elimine la AC de forma permanente.

   Después de eliminar la AC del grupo de ACs, haga lo siguiente:

   1. Haga clic en la pestaña Gestor de grupos de ACs.
   2. En la lista de grupos de ACs, selecciona el que quieras eliminar.
   3. Haz clic en deleteEliminar.
   
   4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

4. Para eliminar el proyecto, sigue estos pasos:

   1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

   2. In the project list, select the project that you want to delete, and then click Delete.
   3. In the dialog, type the project ID, and then click Shut down to delete the project.

Siguientes pasos

• Más información sobre los grupos de ACs
• Más información sobre cómo crear un grupo de CAs
• Más información sobre cómo crear CAs
• Más información sobre cómo solicitar certificados
• Consulta cómo controlar el tipo de certificados que puede emitir un pool de CAs.