En esta página, se proporciona una descripción general de los componentes y conceptos principales de Certificate Manager.
Certificados
Un certificado representa un solo certificado SSL de seguridad de la capa de transporte (TLS) X.509 que se emite para comodines de dominio o nombres de dominio específicos.
Certificate Manager admite los siguientes tipos de certificados:
- Certificados administrados por Google: Son los certificados que Google Cloudobtiene y administra por ti. Cuando se emite o renueva un certificado administrado por Google nuevo, Certificate Manager usa una clave privada recién generada para el certificado.
- Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo.
Certificados administrados por Google
Los certificados administrados por Google son certificados TLS que Google Cloud obtiene y administra por ti. El Administrador de certificados te permite crear, administrar y renovar automáticamente tus certificados administrados por Google. El Administrador de certificados también te permite verificar la propiedad del dominio con la autorización basada en el balanceador de cargas o la autorización basada en DNS.
Certificate Manager admite la autoridad certificadora (CA) pública y la CA de Let's Encrypt. De forma predeterminada, Public CA emite certificados administrados por Google. Si no puedes obtener un certificado de Public CA para un dominio en particular, Certificate Manager recurre a la CA de Let's Encrypt. Esto puede ocurrir en situaciones en las que Public CA se niega a emitir un certificado para un dominio o cuando tu registro de autorización de la autoridad certificadora (CAA) prohíbe explícitamente que Public CA emita certificados para ese dominio. Para obtener más información sobre cómo restringir las CA que pueden emitir certificados para tus dominios, consulta Especifica las CA que pueden emitir tu certificado administrado por Google.
Estos son algunos puntos importantes que debes tener en cuenta cuando usas certificados administrados por Google con Certificate Manager:
- El Administrador de certificados admite certificados RSA administrados por Google.
- Los certificados regionales administrados por Google solo admiten la autorización basada en DNS y obtienen certificados de Public CA.
- No se admite el uso de certificados administrados por Google como certificados de cliente para TLS mutua.
- La validez predeterminada de los certificados públicos administrados por Google es de 90 días para todos los alcances, excepto
EDGE_CACHE, que tiene una validez de 30 días. No se admite cambiar la validez de los certificados públicos administrados por Google.
Certificados públicos y privados
El Administrador de certificados puede administrar certificados públicos y privados. Certificate Manager obtiene certificados públicos, que a menudo protegen servicios públicos, de Public CA. Los principales navegadores, sistemas operativos y aplicaciones reconocen Public CA como raíz de confianza. Certificate Manager obtiene certificados privados, que a menudo protegen servicios privados, del servicio de CA.
Certificados autoadministrados
Si no puedes usar certificados administrados por Google debido a los requisitos de tu empresa, puedes subir certificados emitidos por CA externas junto con sus claves asociadas. Debes emitir y renovar estos certificados autoadministrados de forma manual.
Tipos de claves admitidos
Los balanceadores de cargas admiten certificados que usan claves privadas de diferentes tipos de claves. En la siguiente tabla, se muestra la compatibilidad con los tipos de claves según si los certificados son autoadministrados o administrados por Google.|
Tipo de certificado SSL arrow_forward Tipo de clave arrow_downward |
Certificados SSL del Administrador de certificados | ||
|---|---|---|---|
| Global y regional | |||
| Administración automática | Administrada por Google y de confianza pública | Administrado por Google y de confianza privada | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizaciones de dominio
El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:
Autorización del balanceador de cargas: Implementa el certificado directamente en un balanceador de cargas compatible sin crear un registro DNS.
Autorización de DNS: Implementa el certificado directamente en un balanceador de cargas compatible después de crear registros DNS dedicados para verificar la propiedad del dominio.
Para obtener más información, consulta Tipos de autorización de dominio para certificados administrados por Google.
No necesitas autorizaciones de dominio para los certificados autoadministrados.
Mapas de certificados
Un mapa de certificados hace referencia a una o más entradas de mapa de certificados que asignan certificados específicos a nombres de host específicos. Las entradas del mapa de certificados también definen la lógica de selección que sigue el balanceador de cargas cuando establece conexiones de cliente. Puedes asociar un mapa de certificados con varios proxies de destino para reutilizarlo en varios balanceadores de cargas.
Si un cliente solicita un nombre de host especificado en un mapa de certificados, el balanceador de cargas entrega los certificados asignados a ese nombre de host. De lo contrario, el balanceador de cargas entrega el certificado principal, que es el primer certificado que se indica para un proxy de destino. Para obtener más información, consulta Cómo funciona el Administrador de certificados.
Los siguientes balanceadores de cargas admiten mapas de certificados:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de red del proxy externo global
Para obtener más información sobre cómo crear y administrar mapas de certificados, consulta Administra mapas de certificados.
Entradas de mapa de certificados
Una entrada de mapa de certificados es una lista de certificados que se entregan para un nombre de dominio específico. Puedes definir diferentes conjuntos de certificados para el mismo dominio. Por ejemplo, puedes subir un certificado ECDSA y un certificado RSA, y asignarlos al mismo nombre de dominio.
Cuando un cliente se conecta a un nombre de dominio, el balanceador de cargas negocia el tipo de certificado que se publicará para el cliente durante el protocolo de enlace.
Puedes asociar un máximo de cuatro certificados a una sola entrada del mapa de certificados.
Para obtener más información sobre cómo crear y administrar entradas de mapas de certificados, consulta Administra entradas de mapas de certificados.
Configuración de confianza
Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en el Administrador de certificados para su uso en situaciones de autenticación TLS mutua. Encapsula un solo almacén de confianza, que, a su vez, encapsula un ancla de confianza y, de forma opcional, uno o más certificados intermedios.
Para obtener más información sobre la autenticación TLS mutua (mTLS), consulta la Descripción general de TLS mutua en la documentación de Cloud Load Balancing.
Para obtener más información sobre las configuraciones de confianza y sus componentes, consulta Administra las configuraciones de confianza.
Almacenes de confianza
Un almacén de confianza representa la configuración del secreto de confianza en el Administrador de certificados para su uso en situaciones de autenticación TLS mutua. Un almacén de confianza encapsula un solo ancla de confianza y, de forma opcional, uno o más certificados intermedios.
Se aplican las siguientes limitaciones a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede contener hasta 200 anclas de confianza y hasta 100 certificados de CA intermedios.
Anclas de confianza
Un ancla de confianza representa un solo certificado raíz para su uso en situaciones de autenticación TLS mutua. Un ancla de confianza se encapsula dentro de un almacén de confianza.
Certificados intermedios
Un certificado intermedio es un certificado firmado por un certificado raíz o por otro certificado intermedio en el almacén de confianza. Los certificados intermedios se usan para la autenticación TLS mutua.
Si tienes certificados intermedios, se pueden encapsular uno o más certificados intermedios dentro de un almacén de confianza, según la configuración de tu PKI. Además de los certificados intermedios existentes, la configuración de confianza incluye todos los certificados intermedios como parte de la evaluación de confianza para todas las solicitudes de conexión.
Certificados que requieren una lista de entidades permitidas
Para permitir que los clientes se autentiquen con un certificado autofirmado, vencido o no válido, agrega el certificado al campo allowlistedCertificates de la configuración de confianza. También puedes agregar el certificado si no tienes acceso a los certificados raíz e intermedios.
No necesitas un almacén de confianza para agregar un certificado a una lista de entidades permitidas.
Cuando agregas un certificado a la lista de entidades permitidas, el Administrador de certificados lo considera válido si cumple con las siguientes condiciones:
- El certificado se puede analizar.
- El cliente demuestra que posee la clave privada del certificado.
- Se cumplen las restricciones del campo Nombre alternativo del sujeto (SAN).
Configuraciones de emisión de certificados
Una configuración de emisión de certificados es un recurso que permite que Certificate Manager use un grupo de CA de tu propia instancia de Certificate Authority Service para emitir certificados administrados por Google. Una configuración de emisión de certificados te permite especificar parámetros para la emisión y el vencimiento de certificados, así como el algoritmo de clave para los certificados emitidos.
Para obtener más información sobre cómo crear y administrar la configuración de emisión de certificados, consulta Administra recursos de configuración de emisión de certificados.