Crea una autoridad certificadora subordinada
En esta página, se describe cómo crear autoridades certificadoras (AC) subordinadas en un grupo de AC.
Las AC subordinadas son responsables de emitir certificados directamente a las entidades finales, como usuarios, computadoras y dispositivos. Las AC subordinadas están firmadas criptográficamente por una AC superior, que suele ser la AC raíz. Como resultado, los sistemas que confían en la AC raíz confían automáticamente en las AC subordinadas y en los certificados de entidad final que emiten las AC subordinadas.
Antes de comenzar
- Asegúrate de tener el rol de IAM de administrador de operaciones del servicio de AC (
roles/privateca.caManager
) o de administrador del servicio de AC (roles/privateca.admin
). Para obtener información, consulta Configura políticas de IAM. - Crea un grupo de CA.
- Selecciona tu AC raíz.
Crea una AC subordinada
Las AC subordinadas son más fáciles de revocar y rotar que las AC raíz. Si tienes varias situaciones de emisión de certificados, puedes crear una AC subordinada para cada una. Agregar varias AC subordinadas en un grupo de AC te ayuda a lograr un mejor balanceo de cargas de solicitudes de certificado y un QPS total efectivo más alto.
Para crear una AC subordinada, haz lo siguiente:
Console
Ve a la página Certificate Authority Service en la consola de Google Cloud.
Haz clic en la pestaña Administrador de AC.
Haz clic en Crear AC.
Selecciona el tipo de AC
- Haz clic en CA subordinada.
- Haz clic en La AC raíz está en Google Cloud.
- En el campo Válido para, ingresa el período durante el que deseas que el certificado de AC sea válido.
- Opcional: Elige el nivel de la AC. El nivel predeterminado es Empresarial. Para obtener más información, consulta Selecciona los niveles de operación.
- Haz clic en Región para seleccionar una ubicación para la AC. Para obtener más información, consulta Ubicaciones.
- Opcional: En Estado inicializado, selecciona el estado en el que debe estar la AC en el momento de la creación.
- Opcional: En Configurar una situación de emisión, haz clic en Perfil de certificado y selecciona el perfil de certificado que mejor se adapte a tus requisitos de la lista. Para obtener más información, consulta Perfiles de certificados.
- Haz clic en Siguiente.
- En el campo Organización (O), ingresa el nombre de tu empresa.
- Opcional: En el campo Unidad organizativa (UO), ingresa la subdivisión de la empresa o la unidad de negocios.
- Opcional: En el campo Nombre del país, ingresa un código de país de dos letras.
- Opcional: En el campo Nombre del estado o provincia, ingresa el nombre de tu estado.
- Opcional: En el campo Nombre de la localidad, ingresa el nombre de tu ciudad.
- En el campo Nombre común de AC (CN), ingresa el nombre de la AC.
- En el campo ID de grupo, ingresa el nombre del grupo de AC. No puedes cambiar el pool de AC después de crearla.
- Haz clic en Siguiente.
- Elige el algoritmo de claves que mejor se adapte a tus necesidades. Para obtener información sobre cómo decidir el algoritmo de clave adecuado, consulta Elige un algoritmo de clave.
- Haz clic en Siguiente.
Los siguientes pasos son opcionales. Si omites estos pasos, se aplicará la configuración predeterminada.
- Elige si deseas usar un bucket de Cloud Storage administrado por Google o autoadministrado.
- Elige si quieres inhabilitar la publicación de las listas de revocación de certificados (CRL) y los certificados de AC en el bucket de Cloud Storage.
- Haz clic en Siguiente.
Si no seleccionas un bucket de Cloud Storage administrado por ti, el servicio de AC crea un bucket administrado por Google en la misma ubicación que la AC.
La publicación de la CRL y el certificado de AC en un bucket de Cloud Storage está habilitada de forma predeterminada. Para inhabilitar estos parámetros de configuración, haz clic en los botones de activación.
Los siguientes pasos son opcionales.
Si deseas agregar etiquetas a la AC, haz lo siguiente:
- Haz clic en Agregar elemento.
- En el campo Clave 1, ingresa la clave de etiqueta.
- En el campo Valor 1, ingresa el valor de la etiqueta.
- Si deseas agregar otra etiqueta, haz clic en Agregar elemento. Luego, agrega la clave y el valor de la etiqueta como se mencionó en los pasos 2 y 3.
- Haz clic en Siguiente.
Revisa cuidadosamente todos los parámetros de configuración y, luego, haz clic en Crear para crear la AC.
gcloud
Crea un grupo de AC para la AC subordinada:
gcloud privateca pools create SUBORDINATE_POOL_ID
Reemplaza SUBORDINATE_POOL_ID por el nombre del grupo de AC.
Para obtener más información sobre cómo crear grupos de AC, consulta Cómo crear un grupo de AC.
Para obtener más información sobre el comando
gcloud privateca pools create
, consulta gcloud privateca pools create.Crea una AC subordinada en el grupo de AC creado.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --issuer-pool=POOL_ID \ --key-algorithm="ec-p256-sha256" \ --subject="CN=Example Server TLS CA, O=Example LLC"
Se muestra la siguiente sentencia cuando se crea la AC subordinada.
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].
Para ver una lista exhaustiva de la configuración, ejecuta el siguiente comando
gcloud
:gcloud privateca subordinates create --help
El comando muestra ejemplos para crear una AC subordinada cuyo emisor se encuentra en el servicio de AC o en otro lugar.
Terraform
Java
Para autenticarte en el servicio de AC, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Para autenticarte en el servicio de AC, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Habilita una AC subordinada
Para habilitar una AC subordinada, haz lo siguiente:
Console
Ve a la página Certificate Authority Service en la consola de Google Cloud.
Haz clic en la pestaña Administrador de AC.
En Autoridades certificadoras, selecciona la AC que deseas activar.
Haz clic en
Activar.En el diálogo que se abre, haz clic en Download CSR para descargar el archivo de CSR con codificación PEM que la AC emisora puede firmar.
Haz clic en Siguiente.
En el campo Subir cadena de certificados, haz clic en Explorar.
Sube el archivo de certificado firmado con la extensión
.crt
.Haz clic en Activar.
gcloud
Para habilitar una AC subordinada recién creada, ejecuta el siguiente comando:
gcloud privateca subordinates enable SUBORDINATE_CA_ID --pool=SUBORDINATE_POOL_ID
Reemplaza lo siguiente:
- SUBORDINATE_CA_ID: Es el identificador único de la AC subordinada.
- SUBORDINATE_POOL_ID: Es el nombre del grupo de AC que contiene la AC subordinada.
Para obtener más información sobre el comando gcloud privateca subordinates enable
, consulta gcloud privateca subordinates enable.
Terraform
Establece el campo desired_state
como ENABLED
en la AC subordinada y ejecuta terraform apply
.
¿Qué sigue?
- Obtén más información para solicitar certificados.
- Obtén información sobre las plantillas y las políticas de emisión.