Crear una plantilla de certificado

En esta página, se describen los atributos de una plantilla de certificado y se explica cómo puedes crear una. Para obtener más información sobre las plantillas de certificados, consulta Acerca de las plantillas de certificados.

Roles obligatorios

Para obtener los permisos que necesitas para crear una plantilla de certificado, pídele a tu administrador que te otorgue el rol de IAM de Administrador de operaciones del servicio de CA (roles/privateca.caManager) en el proyecto, la carpeta o la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crear una plantilla de certificado

Para crear una plantilla de certificado, usa uno de los siguientes métodos:

Console

  1. Ve a la página Certificate Authority Service en la Google Cloud consola.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador de plantillas y, luego, en Crear plantilla.

  3. Selecciona una ubicación para la plantilla de certificado en la lista Región. Debe ser la misma ubicación que el grupo de CA que deseas usar con la plantilla de certificado.

  4. Ingresa un identificador único para la plantilla de certificado en el campo ID de plantilla de certificado. De manera opcional, proporciona una descripción para la plantilla de certificado.

  5. Haz clic en Siguiente.

  6. Si deseas configurar valores predeterminados de X.509 para los certificados que usan esta plantilla, haz clic en el botón de activación Incluye valores predefinidos en los certificados emitidos con esta plantilla de certificado. Luego, haz clic en Configurar valores predefinidos.

  7. Configura los valores predefinidos con la siguiente información:

    Define el uso base de la clave

    Este parámetro de configuración hace referencia al campo Key Usage dentro de un certificado digital. Especifica cómo se puede usar la clave privada del certificado, por ejemplo, para el cifrado de claves, el cifrado de datos, la firma de certificados y la firma de CRL. Para obtener más información, consulta Uso de claves.

    1. Para seleccionar los usos de clave base, haz clic en el botón de activación Especificar los usos de clave base para los certificados emitidos desde este grupo de CA y, luego, selecciona una de las opciones que se muestran.
    2. Haz clic en Siguiente.

    Define el uso extendido de la clave

    Este parámetro de configuración hace referencia al campo Extended Key Usage (EKU) en un certificado digital. Proporciona restricciones más específicas y detalladas sobre cómo se puede usar la clave, por ejemplo, para la autenticación del servidor, la autenticación del cliente, la firma de código, la protección del correo electrónico y mucho más. Para obtener más información, consulta Uso extendido de claves.

    Los usos extendidos de claves se definen con identificadores de objeto (OID). Si no configuras los usos extendidos de claves, se permitirán todas las situaciones de uso de claves.

    1. Para seleccionar los usos extendidos de claves, haz clic en el botón de activación Escribe los usos extendidos de claves para los certificados emitidos desde este grupo de CA y, luego, selecciona una de las opciones que se muestran.
    2. Haz clic en Siguiente.

    Cómo definir identificadores de políticas

    La extensión de políticas de certificado en el certificado expresa las políticas que sigue el grupo de CA emisor. Esta extensión puede incluir información sobre cómo se validan las identidades antes de la emisión de certificados, cómo se revocan los certificados y cómo se garantiza la integridad del grupo de CA. Esta extensión te ayuda a verificar los certificados que emite el grupo de CA y a ver cómo se usan.

    Para obtener más información, consulta Políticas de certificados.

    Para especificar la política que define el uso del certificado, haz lo siguiente:

    1. Opcional: Agrega el identificador de la política en el campo Identificadores de políticas.
    2. Haz clic en Siguiente.

    Agrega servidores OCSP de acceso a la información de la autoridad (AIA)

    La extensión AIA en un certificado proporciona la siguiente información:

    • Dirección de los servidores OCSP desde los que puedes verificar el estado de revocación del certificado.
    • Es el método de acceso para la entidad emisora del certificado.

    Para obtener más información, consulta Acceso a la información de la autoridad.

    Agregar servidores OCSP es opcional. Para agregar los servidores OCSP que aparecen en el campo de extensión de AIA en los certificados, haz lo siguiente:

    1. Haz clic en Agregar elemento.
    2. En el campo URL del servidor, agrega la URL del servidor OCSP.
    3. Haz clic en Listo.
    4. Haz clic en Siguiente.

    Opciones de CA

    El campo Opciones de CA dentro de una plantilla de certificado define cómo se puede usar el certificado resultante en una jerarquía de autoridad certificadora (CA). Básicamente, determina si un certificado se puede usar para firmar otros certificados y, si es así, qué restricciones se aplican a los certificados que emite.

    Selecciona alguna de las siguientes opciones:

    1. Incluye los archivos de configuración para describir las extensiones de CA X.509: Especifica la configuración dentro de una plantilla de certificado que controla las extensiones X.509.

    2. Restringe los certificados emitidos a fin de que se usen solo para las CA: Esta opción solo aparece si seleccionas la casilla de verificación mencionada en el paso anterior. Este valor booleano indica si el certificado es un certificado de CA. Si se configura como true, el certificado se puede usar para firmar otros certificados. Si es false, se trata de un certificado de entidad final y no puede firmar otros certificados. Si haces clic en este botón de activación, se te pedirá que definas restricciones de nombres para la extensión en los certificados de CA.

    3. Incluye los archivos de configuración para describir las extensiones X.509 de restricción de la ruta de interacciones: Especifica la configuración que controla la longitud de una cadena de certificados, que se deriva de un certificado en particular.Especifica la cantidad máxima de CA que se pueden encadenar hasta este certificado de CA. Si la longitud máxima de la ruta de interacciones del emisor se establece en 0, la CA solo puede emitir certificados de entidad final. Si se configura como 1, la cadena debajo de este certificado de CA solo puede incluir una CA subordinada. Si no se declara un valor, la cantidad de CA subordinadas en la cadena debajo de esta CA no está limitada.

    4. Haz clic en Siguiente.

    Configura extensiones adicionales

    Opcional: Puedes configurar extensiones personalizadas adicionales para incluir en los certificados que emita el grupo de CA. Haz lo siguiente:

    1. Haz clic en Agregar elemento.
    2. En el campo Identificador de objeto, agrega un identificador de objeto válido con formato de dígitos separados por puntos.
    3. En el campo Value, agrega el valor codificado en base64 para el identificador.
    4. Si la extensión es fundamental, selecciona La extensión es fundamental.

  8. Para guardar todos los valores predefinidos, haz clic en Listo.

  9. A continuación, ve a la sección Configurar restricciones de extensión. Selecciona una de las siguientes opciones:

    • Copiar todas las extensiones de las solicitudes de certificados en el certificado
    • Descartar todas las extensiones de las solicitudes de certificados
    • Copiar en el certificado extensiones específicas de solicitudes de certificados
  10. Si eliges copiar extensiones específicas, puedes hacer lo siguiente:
    • Haz clic en el campo Extensiones de certificado conocidas y borra las extensiones que no sean necesarias de la lista.
    • En el campo Extensiones personalizadas, agrega los identificadores de objetos para las extensiones que deseas incluir en los certificados que emita el grupo de CA.

  11. Haz clic en Siguiente y ve a la sección Configurar restricciones de identidad. Para configurar restricciones en el sujeto y los SAN de los certificados que emite el grupo de CA, selecciona una o ambas de las siguientes opciones:

    • Copiar en el certificado el asunto de las solicitudes de certificado
    • Copiar en el certificado el asunto de los nombres alternativos (SAN) de las solicitudes de certificado
    Opcional: En la sección Configurar restricciones de identidad, agrega una expresión de Common Expression Language (CEL) para definir restricciones en los sujetos del certificado. Para obtener más información, consulta Usa CEL.

  12. Haz clic en Siguiente y, luego, en Listo.

gcloud

gcloud privateca templates create TEMPLATE_ID \
  --copy-subject \
  --copy-sans \
  --identity-cel-expression <expr> \
  --predefined-values-file FILE_PATH \
  --copy-all-requested-extensions \
  --copy-extensions-by-oid <1.2.3.4,5.6.7.8> \
  --copy-known-extensions <ext1,ext2>

Reemplaza lo siguiente:

  • TEMPLATE_ID: Es el identificador único de la plantilla de certificado.
  • FILE_PATH: Es el archivo YAML que describe los valores de X.509 establecidos por la plantilla de certificado.

La marca --copy-sans permite que la extensión de nombre alternativo del sujeto (SAN) de la solicitud de certificado se copie en el certificado firmado. Como alternativa, puedes especificar --no-copy-sans para descartar cualquier SAN especificada por el llamador de la solicitud de certificado.

La marca --copy-subject permite que el asunto de la solicitud de certificado se copie en el certificado firmado. Como alternativa, puedes especificar --no-copy-subject para descartar cualquier asunto especificado por el llamador en la solicitud de certificado.

La marca --identity-cel-expression toma una expresión de CEL que se evalúa en función del asunto y el nombre alternativo del asunto del certificado antes de que se emita, y devuelve un valor booleano que indica si se debe permitir la solicitud. Para obtener información sobre cómo usar una expresión de Common Expression Language (CEL) para una plantilla de certificado, consulta Cómo usar CEL para plantillas de certificados.

La marca --predefined-values-file especifica la ruta de acceso a un archivo YAML que describe los valores X.509 predefinidos establecidos por esta plantilla. Las extensiones proporcionadas se copian en cualquier solicitud de certificado que use esta plantilla, y tienen prioridad sobre cualquier extensión permitida en la solicitud de certificado. Si actualizas alguna parte de los valores X.509 predefinidos, la actualización reemplazará todo el conjunto de valores X.509 predefinidos.

Si se establece la marca --copy-all-requested-extensions, todas las extensiones especificadas en la solicitud de certificado se copian en el certificado firmado.

Si se configura la marca --copy-extensions-by-oid, se copian OID específicos de la solicitud de certificado en el certificado firmado.

Si se configura la marca --copy-known-extensions, se copian extensiones específicas de la solicitud de certificado al certificado firmado. Estas extensiones conocidas pueden ser una de las siguientes: base-key-usage, extended-key-usage, ca-options, policy-ids o aia-ocsp-servers.

Quita la marca --copy-all-requested-extensions para ignorar todas las extensiones X.509 en la solicitud de certificado, pero conserva los valores predefinidos en esta plantilla.

Esta es una muestra de configuración de la plantilla de certificado:

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
    contentCommitment: false
    dataEncipherment: false
    keyAgreement: false
    certSign: false
    crlSign: false
    encipherOnly: false
    decipherOnly: false
  extendedKeyUsage:
    serverAuth: true
    clientAuth: false
    codeSigning: false
    emailProtection: false
    timeStamping: false
    ocspSigning: false
caOptions:
  isCa: true
  maxIssuerPathLength: 1
policyIds:
- objectIdPath:
  - 1
  - 2
  - 3
additionalExtensions:
- objectId:
    objectIdPath:
    - 1
    - 2
    - 3
  critical: false
  value: "base64 encoded extension value"

Los valores que no se especifican en el archivo YAML se omiten o se establecen de forma predeterminada en false.

Si no se especifica un valor, se omiten las siguientes extensiones:

  • keyUsage
  • policyIds
  • additionalExtensions
  • Campo maxIssuerPathLength en la extensión caOptions

Las siguientes extensiones tienen el valor predeterminado false si no se especifica un valor:

  • Campo isCa en la extensión caOptions

Crea una plantilla de certificado para situaciones comunes

En esta sección, se proporcionan comandos de gcloud para crear una plantilla de certificado para casos de uso comunes.

Certificados TLS del servidor DNS para cualquier dominio

Para crear una plantilla de certificado para emitir certificados TLS del servidor que permitan cualquier dominio, sigue estas instrucciones:

  1. Crea un archivo con el nombre leaf_server_tls_values.yaml y agrégale la siguiente configuración de TLS del servidor de entidad final:

    leaf_server_tls_values.yaml

    keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

  2. Para permitir solo certificados con SAN de tipo DNS, ejecuta el siguiente comando gcloud:

    gcloud

    gcloud privateca templates create server-tls \
  --predefined-values-file leaf_server_tls_values.yaml \
  --copy-sans --no-copy-subject \
  --identity-cel-expression "subject_alt_names.all(san, san.type == DNS)"

    Para obtener más información sobre el comando gcloud privateca templates create, consulta gcloud privateca templates create.

Certificados TLS de servidores DNS solo con dominios de prueba

Para crear una plantilla de certificado para emitir certificados TLS del servidor con SAN de DNS limitadas a dominios de prueba, usa el siguiente comando gcloud:

gcloud

gcloud privateca templates create server-tls \
  --predefined-values-file leaf_server_tls_values.yaml \
  --copy-sans --no-copy-subject \
  --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.test.example.com'))"

El contenido del archivo leaf_server_tls_values.yaml debe ser el mismo que el del ejemplo anterior.

Para obtener más información sobre el uso de expresiones en CEL para garantizar que los nombres de DNS comiencen o terminen con una cadena en particular, consulta Ejemplos de expresiones en CEL.

Certificados de identidad de carga de trabajo

Para crear una plantilla de certificado para emitir certificados de TLS mutuo (mTLS), sigue estas instrucciones:

  1. Crea un archivo con el nombre leaf_mtls_values.yaml y agrégale la siguiente configuración de TLS mutuo de la entidad final.

    leaf_mtls_values.yaml

    keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

  2. Para permitir solo certificados con SAN de URI de SPIFFE, usa el siguiente comando gcloud:

    gcloud

    gcloud privateca templates create workload-spiffe \
  --predefined-values-file leaf_mtls_values.yaml \
  --copy-sans --no-copy-subject \
  --identity-cel-expression "subject_alt_names.all(san, san.type == URI && san.value.startsWith('spiffe://'))"

    Para obtener más información sobre el comando gcloud privateca templates create, consulta gcloud privateca templates create.

Para obtener más información sobre el uso de expresiones en CEL para garantizar que los nombres de DNS comiencen o terminen con una cadena en particular, consulta Ejemplos de expresiones en CEL.

Otorga acceso a la plantilla de certificado

Puedes usar una plantilla de certificado si tienes el rol de usuario de plantillas de certificados del Servicio de CA (roles/privateca.templateUser). Recomendamos que los autores de una plantilla de certificado otorguen el rol de usuario de plantillas de certificados del Servicio de CA a los miembros de la organización que puedan usar esa plantilla de certificado.

Para otorgar el rol de Usuario de plantillas de certificados del Servicio de CA (roles/privateca.templateUser) a todos los usuarios del dominio example.com, usa el siguiente comando de gcloud:

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --member "domain:example.com" \
  --role "roles/privateca.templateUser"

Reemplaza lo siguiente:

  • TEMPLATE_ID: Es el identificador único de la plantilla de certificado.

Para obtener más información sobre el comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.

Para obtener más información sobre los roles de IAM para CA Service y sus permisos asociados, consulta Control de acceso con IAM.

¿Qué sigue?