Administrar certificados

En esta página se describe cómo usar Gestor de certificados para crear y gestionar certificados de seguridad en la capa de transporte (TLS) (antes SSL).

Para obtener más información, consulta Certificados TLS admitidos.

Crear un certificado gestionado por Google

Gestor de certificados le permite crear certificados gestionados por Google de las siguientes formas:

  • Certificados gestionados por Google con autorización de balanceador de carga (global)
  • Certificados gestionados por Google con autorización de DNS (globales, regionales y entre regiones)
  • Certificados gestionados por Google con Servicio de Autoridades de Certificación (globales, regionales y multirregionales)

Autorización del balanceador de carga

La autorización del balanceador de carga te permite obtener un certificado gestionado por Google para tu dominio cuando el balanceador de carga sirve el tráfico. Este método no requiere ningún registro DNS adicional para aprovisionar el certificado. Puedes usar autorizaciones de balanceador de carga en entornos nuevos sin tráfico. Para obtener información sobre cuándo usar la autorización del balanceador de carga con un certificado gestionado por Google, consulta Tipos de autorización de dominio para certificados gestionados por Google.

Solo puedes crear certificados gestionados por Google con autorización de balanceador de carga en la ubicación global. Los certificados autorizados del balanceador de carga no admiten dominios comodín.

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, haz clic en Añadir certificado.

  3. En el campo Nombre del certificado, introduce un nombre único para el certificado.

  4. Opcional: En el campo Descripción, escribe una descripción del certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Ámbito, seleccione una de las siguientes opciones:

    • Predeterminado: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • Caché perimetral: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

    No puedes usar la autorización del balanceador de carga con la ubicación Regional ni con el ámbito Todas las regiones.

  7. En Tipo de certificado, selecciona Crear certificado gestionado por Google.

  8. En Tipo de autoridad de certificación, selecciona Pública.

  9. En el campo Domain Names (Nombres de dominio), especifique una lista de nombres de dominio del certificado delimitados por comas. Cada nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.

  10. En Tipo de autorización, selecciona Autorización de balanceador de carga.

  11. En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.

  12. Haz clic en Crear.

    El nuevo certificado aparece en la lista de certificados.

gcloud

Para crear un certificado global gestionado por Google con autorización de balanceador de carga, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAMES: lista de dominios de destino separados por comas. Cada nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Terraform

Usa un google_certificate_manager_certificate recurso.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.

API

Para crear el certificado, haz una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAMES: lista de dominios de destino separados por comas. Cada nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Autorización de DNS

Para usar certificados gestionados por Google antes de que tu entorno de producción esté listo, puedes aprovisionarlos con autorizaciones de DNS. Para obtener información sobre cuándo usar la autorización de DNS con un certificado gestionado por Google, consulta Tipos de autorización de dominio para certificados gestionados por Google.

Para gestionar certificados de forma independiente en varios proyectos, puedes usar la autorización de DNS por proyecto. Para obtener información sobre cómo crear certificados con autorización de DNS por proyecto, consulta Crear una autorización de DNS.

Antes de crear el certificado, haz lo siguiente:

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, haz clic en Añadir certificado.

  3. En el campo Nombre del certificado, introduce un nombre único para el certificado.

  4. Opcional: En el campo Descripción, escribe una descripción del certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si has seleccionado Regional, elige tu región en la lista Región.

  6. En Ámbito, seleccione una de las siguientes opciones:

    • Predeterminado: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • Todas las regiones: si tienes previsto usar el certificado con un balanceador de carga de aplicación interno entre regiones.
    • Caché de Edge: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

    El campo Ámbito no está disponible si has seleccionado una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado gestionado por Google.

  8. En Tipo de autoridad de certificación, selecciona Pública.

  9. En el campo Domain Names (Nombres de dominio), especifique una lista de nombres de dominio del certificado delimitados por comas. Cada nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com. El nombre de dominio también puede ser un nombre de dominio comodín, como *.example.com.

  10. En Tipo de autorización, selecciona Autorización de DNS.

    En la página se muestran las autorizaciones de DNS de los nombres de dominio. Si un nombre de dominio no tiene una autorización de DNS asociada, sigue estos pasos para crear una:

    1. Haz clic en Crear autorización de DNS que falta.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de la autorización de DNS. El tipo de autorización de DNS predeterminado es FIXED_RECORD. Para gestionar los certificados de forma independiente en varios proyectos, marca la casilla Autorización por proyecto.
    3. Haz clic en Crear autorización de DNS.

  11. En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.

  12. Haz clic en Crear.

    El nuevo certificado aparece en la lista de certificados.

gcloud

Para crear un certificado gestionado por Google con autorización de DNS, ejecuta el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAME: el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de asterisco y punto (*.) indica que se trata de un certificado comodín.
  • AUTHORIZATION_NAMES: lista delimitada por comas de los nombres de las autorizaciones de DNS.
  • LOCATION: la ubicación de destino. Google Cloud El valor predeterminado es global.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Terraform

Usa un google_certificate_manager_certificaterecurso.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Para crear el certificado, haz una solicitud POST al método certificates. create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud
  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAME: el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Emitido por el servicio de AC

Puedes integrar Certificate Manager con el servicio de AC para emitir certificados gestionados por Google. Para emitir certificados globales gestionados por Google, puedes usar un grupo de AC regional en cualquier región. Para emitir certificados regionales gestionados por Google, debes usar un grupo de ACs en la misma región que tu certificado.

Antes de crear el certificado, configura la integración del Servicio de Autoridades de Certificación con Gestor de Certificados.

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, haz clic en Añadir certificado.

  3. En el campo Nombre del certificado, introduce un nombre único para el certificado.

  4. Opcional: En el campo Descripción, escribe una descripción del certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si has seleccionado Regional, elige tu región en la lista Región.

  6. En Ámbito, seleccione una de las siguientes opciones:

    • Predeterminado: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • Todas las regiones: si tienes previsto usar el certificado con un balanceador de carga de aplicación interno entre regiones.
    • Caché de Edge: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

    El campo Ámbito no está disponible si has seleccionado una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado gestionado por Google.

  8. En Tipo de autoridad de certificación, selecciona Privada.

  9. En el campo Domain Names (Nombres de dominio), especifique una lista de nombres de dominio del certificado delimitados por comas. Cada nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.

  10. En Select a certificate issuance config (Seleccionar una configuración de emisión de certificados), selecciona el nombre del recurso de configuración de emisión de certificados que haga referencia al grupo de ACs de destino.

  11. En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.

  12. Haz clic en Crear.

    El nuevo certificado aparece en la lista de certificados.

gcloud

Para crear un certificado gestionado por Google con el Servicio de Autoridades de Certificación, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAME: el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de asterisco y punto (*.) indica que se trata de un certificado comodín.
  • ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
  • LOCATION: la ubicación de destino. Google Cloud El valor predeterminado es global.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

API

Para crear el certificado, haz una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud
  • CERTIFICATE_NAME: el nombre del certificado.
  • DOMAIN_NAME: el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completo, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Subir un certificado autogestionado

Para subir un certificado autogestionado, sube el archivo de certificado (CRT) y el archivo de clave privada (KEY) correspondiente. Puede subir certificados X.509 TLS (SSL) globales y regionales de los siguientes tipos:

  • Certificados generados por autoridades de certificación (CAs) de terceros de tu elección.
  • Certificados generados por autoridades de certificación que controlas.
  • Certificados autofirmados, tal como se describe en Crear una clave privada y un certificado.

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, haz clic en Añadir certificado.

  3. En el campo Nombre del certificado, introduce un nombre único para el certificado.

  4. Opcional: En el campo Descripción, escribe una descripción del certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si has seleccionado Regional, elige tu región en la lista Región.

  6. En Ámbito, seleccione una de las siguientes opciones:

    • Predeterminado: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • Todas las regiones: si tienes previsto usar el certificado con un balanceador de carga de aplicación interno entre regiones.
    • Caché perimetral: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

    El campo Ámbito no está disponible si has seleccionado una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado autogestionado.

  8. En el campo Certificado, haz una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado en formato PEM.
    • Copia y pega el contenido de un certificado en formato PEM. El contenido debe empezar por -----BEGIN CERTIFICATE----- y terminar por -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, haz una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener formato PEM y no estar protegida con una contraseña.
    • Copia y pega el contenido de una clave privada con formato PEM. Las claves privadas deben empezar por -----BEGIN PRIVATE KEY----- y terminar por -----END PRIVATE KEY-----.

  10. En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.

  11. Haz clic en Crear.

    El nuevo certificado aparece en la lista de certificados.

gcloud

Para crear un certificado autogestionado, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • CERTIFICATE_FILE: la ruta y el nombre del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: la ruta y el nombre de archivo de la clave privada KEY.
  • LOCATION: la ubicación de destino. Google Cloud El valor predeterminado es global.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Terraform

Para subir un certificado autogestionado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Sube el certificado haciendo una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud
  • CERTIFICATE_NAME: el nombre del certificado.
  • PEM_CERTIFICATE: el PEM del certificado.
  • PEM_KEY: el PEM de la clave.
  • SCOPE: introduce una de las siguientes opciones:
    • default: si tienes previsto usar el certificado con un balanceador de carga de aplicación externo global o un balanceador de carga de red con proxy externo global.
    • all-regions: si tienes previsto usar el certificado con un balanceador de carga de aplicaciones interno entre regiones.
    • edge-cache: si tienes previsto usar el certificado con Media CDN y especificar varios dominios en el certificado.

Actualizar un certificado

Puedes actualizar un certificado sin modificar sus asignaciones a nombres de dominio en el mapa de certificados correspondiente. Cuando actualices un certificado, asegúrate de que los SANs del nuevo certificado coincidan exactamente con los del certificado actual.

Certificados gestionados por Google

En el caso de los certificados gestionados por Google, solo puedes actualizar la descripción y las etiquetas de un certificado.

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, busca el certificado que quieras actualizar y haz clic en su nombre. En la página Detalles del certificado se muestra información detallada sobre el certificado seleccionado.

  3. Haz clic en Editar. Aparecerá la página Editar certificado.

  4. Opcional: En el campo Descripción, escribe una nueva descripción del certificado.

  5. Opcional: Puedes añadir, quitar o cambiar las etiquetas asociadas al certificado. Para añadir una etiqueta, haz clic en el botón Añadir etiqueta y, a continuación, especifica un key y un value para la etiqueta.

  6. Haz clic en Guardar. En la página Detalles del certificado que aparece, comprueba que el certificado se haya actualizado.

gcloud

Para actualizar un certificado gestionado por Google, usa el certificate-manager certificates update comando:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • DESCRIPTION: una descripción única del certificado.
  • LABELS: lista de etiquetas separadas por comas que se han aplicado a este certificado.

API

Actualiza el certificado haciendo una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_NAME: el nombre del certificado.
  • DESCRIPTION: una descripción del certificado.
  • LABEL_KEY: una clave de etiqueta aplicada al certificado.
  • LABEL_VALUE: valor de etiqueta aplicado al certificado.

Certificados autogestionados

Para actualizar un certificado autogestionado, debe subir los siguientes archivos codificados en PEM:

  • El archivo CRT del certificado

  • El archivo de clave privada KEY correspondiente

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, busca el certificado que quieras actualizar y haz clic en su nombre. En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  3. Haz clic en Editar. Aparecerá la página Editar certificado.

  4. Opcional: En el campo Descripción, escribe una nueva descripción del certificado.

  5. Opcional: En el campo Certificado, haz una de las siguientes acciones:

    • Haz clic en el botón Subir y, a continuación, selecciona el archivo de certificado en formato PEM.
    • Copia y pega el contenido de un certificado en formato PEM. El contenido debe empezar por -----BEGIN CERTIFICATE----- y terminar por -----END CERTIFICATE-----.

  6. Opcional: En el campo Certificado de clave privada, haz una de las siguientes acciones:

    • Haz clic en el botón Subir y, a continuación, selecciona tu clave privada. Tu clave privada debe tener formato PEM y no debe estar protegida con una contraseña.
    • Copia y pega el contenido de una clave privada con formato PEM. Las claves privadas deben empezar por -----BEGIN PRIVATE KEY----- y terminar por -----END PRIVATE KEY-----.

  7. Opcional: Puedes añadir, quitar o cambiar las etiquetas asociadas al certificado. Para añadir una etiqueta, haz clic en el botón Añadir etiqueta y, a continuación, especifica un key y un value para la etiqueta.

  8. Haz clic en Guardar. En la página Detalles del certificado que aparece, comprueba que el certificado se haya actualizado.

gcloud

Para actualizar un certificado autogestionado, usa el certificate-manager certificates updatecomando:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • CERTIFICATE_FILE: la ruta y el nombre del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: la ruta y el nombre de archivo de la clave privada KEY.
  • DESCRIPTION: un valor de descripción único para este certificado.
  • LABELS: lista de etiquetas separadas por comas que se han aplicado a este certificado.
  • LOCATION: la ubicación de destino. Google Cloud Esta marca es opcional. Especifique esta marca solo para los certificados regionales.

API

Actualiza el certificado haciendo una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud Esta marca es opcional. Especifique esta marca solo para los certificados regionales.
  • CERTIFICATE_NAME: el nombre del certificado.
  • PEM_CERTIFICATE: el PEM del certificado.
  • PEM_KEY: el PEM de la clave.
  • DESCRIPTION: una descripción significativa del certificado.
  • LABEL_KEY: una clave de etiqueta aplicada al certificado.
  • LABEL_VALUE: valor de etiqueta aplicado al certificado.

Mostrar certificados

Puedes ver todos los certificados de tu proyecto y sus detalles, como la región, los nombres de host, la fecha de vencimiento y el tipo.

Consola

La página Gestor de certificados de la Google Cloud consola puede mostrar un máximo de 10.000 certificados. Si tu proyecto contiene más de 10.000 certificados gestionados por Certificate Manager, usa el comando de la CLI de gcloud.

Para ver los certificados aprovisionados por Certificate Manager, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. Haz clic en la pestaña Certificados. En esta pestaña se muestran todos los certificados gestionados por Gestor de certificados en el proyecto seleccionado.

Para ver los certificados aprovisionados a través de Cloud Load Balancing, sigue estos pasos:

  1. En la Google Cloud consola, ve a la pestaña Certificados clásicos de la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados clásicos, puede ver una lista de todos los certificados clásicos configurados en el proyecto seleccionado.

    Certificate Manager no gestiona los certificados clásicos. Para obtener más información sobre cómo gestionarlos, consulta la documentación sobre cómo usar certificados gestionados por Google o usar certificados autogestionados.

gcloud

Para enumerar los certificados, usa el comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Haz los cambios siguientes:

  • LOCATION: la ubicación de destino. Google Cloud Para obtener una lista de los certificados de todas las regiones, usa - como valor. El valor predeterminado es -. Esta marca es opcional.

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados por los siguientes criterios:

    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • LIMIT: número máximo de resultados que se devolverán.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

API

Para enumerar los certificados, haz una solicitud LIST al método certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud Para obtener una lista de los certificados de todas las regiones, usa - como valor.

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados por los siguientes criterios:

    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta la sección Ordenar y filtrar resultados de listas de la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

Ver el estado de un certificado

Puedes ver el estado de un certificado, incluido su estado de aprovisionamiento y otra información detallada.

Consola

Si tu proyecto contiene más de 10.000 certificados gestionados por Certificate Manager, no se mostrarán en la página Certificate Manager de la consolaGoogle Cloud . En su lugar, usa el comando de la CLI de gcloud. Sin embargo, si tienes un enlace directo a la página Detalles del certificado, puedes ver sus detalles en la consola Google Cloud .

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. En la pestaña Certificados, ve al certificado de destino y haz clic en su nombre. En la página Detalles del certificado se muestra información detallada sobre el certificado seleccionado.

  4. Opcional: Para ver la respuesta REST de la API Certificate Manager de este certificado, haga clic en REST equivalente.

  5. Opcional: Si el certificado tiene una configuración de emisión de certificados asociada que quieres ver, haz clic en el nombre del recurso de configuración de emisión de certificados asociado en el campo Configuración de emisión. La consola Google Cloud muestra la configuración completa de la configuración de emisión de certificados.

gcloud

Para ver el estado de un certificado, usa el comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • LOCATION: la ubicación de destino. Google Cloud La ubicación predeterminada es global. Esta marca es opcional.

API

Para ver el estado del certificado, haz una solicitud GET al método certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud
  • CERTIFICATE_NAME: el nombre del certificado.

Eliminar un certificado

Antes de eliminar un certificado, quítalo de todas las entradas de mapa de certificados que hagan referencia a él. De lo contrario, no se podrá eliminar. Para obtener más información, consulta Eliminar una entrada de mapa de certificados.

Consola

  1. En la Google Cloud consola, ve a la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Certificados, marque la casilla del certificado que quiera eliminar.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo que aparece, haz clic en Eliminar para confirmar la acción.

gcloud

Para eliminar un certificado, usa el certificate-manager certificates delete comando:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Haz los cambios siguientes:

  • CERTIFICATE_NAME: el nombre del certificado.
  • LOCATION: la ubicación de destino. Google Cloud La ubicación predeterminada es global. Esta marca es opcional.

API

Para eliminar el certificado, haz una solicitud DELETE al método certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la ubicación de destino. Google Cloud
  • CERTIFICATE_NAME: el nombre del certificado.

Siguientes pasos