Cómo emitir un certificado con la consola de Google Cloud

En esta página, se explica cómo generar o emitir certificados a través de Certificate Authority Service con la consola de Google Cloud .

El servicio de AC te permite implementar y administrar autoridades certificadoras (AC) privadas sin administrar la infraestructura.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

Crear grupo de CA

Un grupo de AC es un conjunto de varias AC. Un grupo de AC ofrece la capacidad de rotar cadenas de confianza sin interrupciones ni tiempos de inactividad en las cargas de trabajo. Un grupo de CA reside en una sola ubicación deGoogle Cloud que no puedes cambiar después de la creación.

Para crear un grupo de CA con la configuración predeterminada, haz lo siguiente:

  1. Ve a la página Certificate Authority Service en la Google Cloud consola.

    Ir a Certificate Authority Service

  2. En la pestaña Administrador de grupos de CA, haz clic en Crear grupo.

  3. En la página Crear grupo de CA, agrega un nombre para el grupo de CA.

  4. Haz clic en Región y selecciona us-east1 (Carolina del Sur) como la región del grupo de AC.

  5. Haz clic en Siguiente en cada paso.

  6. Haz clic en Listo.

Puedes ver este grupo de CA en la lista de grupos de CA en la pestaña Administrador de grupos de CA.

Crea una AC raíz:

Un grupo de CA está vacío cuando se crea. Debes agregar una CA al grupo de CA para solicitar certificados.

Una CA raíz tiene un certificado autofirmado que reside en el almacén de confianza del cliente. En esta sección, se explica cómo puedes agregar una CA raíz al grupo de CA que creaste.

Para agregar una CA raíz a tu grupo de CA, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de CA.
  2. Haz clic en la flecha del Create CA para expandir el menú y, luego, selecciona Create CA in an existing CA pool.
  3. Selecciona el grupo de CA que creaste en el paso anterior.
  4. Haz clic en Continuar.
  5. En la sección Select CA type, haz clic en Continue.
  6. En el campo Organización (O), ingresa el nombre de tu organización.
  7. En el campo Nombre común de CA (CN), ingresa el nombre de la CA. Anota el nombre de la CA, ya que lo necesitarás para solicitar un certificado.
  8. Haz clic en Continuar en cada paso.
  9. Revisa los detalles de la CA y haz clic en Listo.

Opcional: Crea un grupo de CA subordinada

Un grupo de AC subordinadas te permite organizar y administrar varias AC subordinadas. La CA raíz valida y firma todas las CA dentro de un grupo de CA subordinado.

Para crear un grupo de CA subordinado con la configuración predeterminada, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de grupos de CA.
  2. Haz clic en Crear grupo.

  3. En la página Crear grupo de CA, agrega un nombre para el grupo de CA subordinado.

  4. Haz clic en Región y selecciona us-east1 (Carolina del Sur) como la región del grupo de AC subordinado.

  5. Haz clic en Siguiente en cada paso.

  6. Haz clic en Listo.

Asegúrate de que el grupo de CA subordinado esté disponible en la lista de grupos de CA en la pestaña Administrador de grupos de CA.

Opcional: Crea una CA subordinada firmada por una CA raíz almacenada en Google Cloud

Las AC subordinadas son responsables de distribuir certificados a las entidades finales que los necesiten, como servidores web, usuarios y dispositivos. Las CA subordinadas crean una capa de separación entre la CA raíz altamente sensible y la emisión de certificados diaria.

Para generar una CA subordinada firmada por una CA raíz que creaste anteriormente, haz lo siguiente:

  1. En la página Certificate Authority Service, haz clic en Administrador de CA.
  2. Haz clic en la flecha del Create CA para expandir el menú y, luego, selecciona Create CA in an existing CA pool.
  3. Selecciona el grupo de CA subordinada que creaste.
  4. Haz clic en Continuar.
  5. Haz clic en CA subordinada.
  6. Haz clic en La CA raíz está en Google Cloud.
  7. En el campo Autoridad certificadora de firma, haz clic en Explorar.
  8. En el diálogo Selecciona una CA, selecciona la CA raíz que creaste en la sección anterior.
  9. Haz clic en Confirmar.
  10. En el campo Válido durante, ingresa la duración para la que deseas que sea válido el certificado de la CA subordinada.
  11. Haz clic en Continuar.
  12. En el campo Organización (O), ingresa el nombre de tu organización.
  13. En el campo Nombre común de CA (CN), ingresa el nombre de la CA subordinada. Toma nota del nombre de la CA subordinada, ya que lo necesitarás para solicitar un certificado.
  14. Haz clic en Continuar en cada paso.
  15. Revisa los detalles de la CA subordinada y haz clic en Listo.

Solicitar un certificado

Para solicitar un certificado con la CA, haz lo siguiente:

  1. En la página Autoridad certificadora, haz clic en Solicitar un certificado.

  2. Haz clic en Ingresar detalles.

    Haz clic en Ingresar detalles para solicitar un certificado.

  3. En Agregar nombre de dominio, ingresa el nombre de dominio completamente calificado del sitio que deseas proteger con este certificado.

  4. Haz clic en Siguiente.

  5. En Configurar el algoritmo y el tamaño de la clave, haz clic en Continuar.

    Verás el certificado generado que puedes copiar o descargar. Para copiar el certificado, haz clic en .

    Copia o descarga el certificado generado.

  6. Haz clic en Listo.

Limpia

Para limpiar, revoca el certificado y borra el grupo de CA, la CA y el proyecto que creaste para esta guía de inicio rápido.

  1. Revoca el certificado.

    1. Haz clic en la pestaña Administrador de certificados privados.
    2. En la lista de certificados, haz clic en Ver más en la fila del certificado que deseas borrar.
    3. Haz clic en Revocar.
    4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

  2. Borra la CA.

    Solo puedes borrar una CA después de revocar todos los certificados que emitió.

    Después de revocar el certificado, haz lo siguiente:

    1. En la lista de CAs, selecciona la que deseas borrar.
    2. Haz clic en Borrar. Aparecerá el diálogo Borrar entidad de certificación.
    3. Opcional: Selecciona una o ambas casillas de verificación siguientes si se aplican las condiciones a tu caso:

      • Borrar esta CA aunque haya certificados activos

        Esta opción te permite borrar una CA con certificados activos. Borrar una CA con certificados activos puede provocar que fallen los sitios web, las aplicaciones o los sistemas que dependen de esos certificados. Te recomendamos que revoques todos los certificados activos emitidos por una CA antes de borrarla.

      • Omitir el período de gracia de 30 días y borrar esta CA de inmediato

        El período de gracia de 30 días te permite revocar todos los certificados emitidos por esta CA y verificar que ningún sistema dependa de ella. Te recomendamos que uses esta opción solo en entornos de prueba o que no sean de producción para evitar posibles interrupciones y pérdida de datos.

    4. Haz clic en Confirmar.

    El estado de la CA cambia a Deleted. La CA se borra de forma permanente 30 días después de que inicias la eliminación.

  3. Borra el grupo de CA.

    Solo puedes borrar un grupo de CA después de que el servicio de CA borre la CA de forma permanente.

    Después de borrar la CA del grupo de CA, haz lo siguiente:

    1. Haz clic en la pestaña Administrador de grupos de CA.
    2. En la lista de grupos de CA, selecciona el que deseas borrar.
    3. Haz clic en Borrar.
      4. Borra un grupo de CA de forma permanente.
    4. En el cuadro de diálogo que se abre, haz clic en Confirmar.

  4. Para borrar el proyecto, haz lo siguiente:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

¿Qué sigue?