Se usó la API de Cloud Translation para traducir esta página.

Componentes principales del Administrador de certificados
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se proporciona una descripción general de los componentes y conceptos principales del Administrador de certificados.

Certificados

Un certificado representa un solo certificado SSL de seguridad de la capa de transporte (TLS) X.509 que se emite para comodines de dominio o nombres de dominio específicos.

El Administrador de certificados admite los siguientes tipos de certificados:

Certificados administrados por Google: Son certificados que Google Cloudobtiene y administra por ti. Cuando se emite o renueva un certificado nuevo administrado por Google, el Administrador de certificados usa una clave privada generada recientemente para el certificado.
Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo.

Certificados administrados por Google

Los certificados administrados por Google son certificados TLS que Google Cloud obtiene y administra por ti. El Administrador de certificados te permite crear, administrar y renovar automáticamente tus certificados administrados por Google. El Administrador de certificados también te permite verificar la propiedad del dominio mediante la autorización basada en el balanceador de cargas o en el DNS.

El Administrador de certificados admite la autoridad certificadora (AC) pública y la AC de Let's Encrypt. De forma predeterminada, la AC pública emite certificados administrados por Google. Si no puedes obtener un certificado de la AC pública para un dominio en particular, el Administrador de certificados recurre a la AC de Let's Encrypt. Esto puede ocurrir en situaciones en las que la AC pública se niega a emitir un certificado para un dominio o si tu registro de autorización de la AC (CAA) prohíbe explícitamente que la AC pública emita certificados para ese dominio. Para obtener más información sobre cómo restringir las AC que podrían emitir certificados para tus dominios, consulta Especifica las AC que pueden emitir tu certificado administrado por Google.

Estos son algunos puntos importantes que debes tener en cuenta cuando uses certificados administrados por Google con el Administrador de certificados:

El Administrador de certificados admite certificados RSA administrados por Google.
Los certificados regionales administrados por Google solo admiten la autorización basada en DNS y obtienen certificados de la AC pública.
No se admite el uso de certificados administrados por Google como certificados de cliente para la TLS mutua.

Certificados públicos y privados

El Administrador de certificados puede administrar certificados públicos y privados. El Administrador de certificados obtiene certificados públicos, que a menudo protegen servicios públicos, de la AC pública. Los navegadores, los sistemas operativos y las aplicaciones principales reconocen la AC pública como una raíz de confianza. El Administrador de certificados obtiene certificados privados, que a menudo protegen servicios privados, del servicio de AC.

Certificados autoadministrados

Si no puedes usar certificados administrados por Google debido a los requisitos de tu negocio, puedes subir certificados emitidos por AC externas junto con sus claves asociadas. Debes emitir y renovar estos certificados de administración automática de forma manual.

Autorizaciones de dominio

El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:

Autorización de balanceador de cargas: Implementa el certificado directamente en un balanceador de cargas compatible sin crear un registro DNS.
Autorización de DNS: Implementa el certificado directamente en un equilibrador de cargas compatible después de crear registros DNS dedicados para la verificación de la propiedad del dominio.

Para obtener más información, consulta Tipos de autorización de dominio para certificados administrados por Google.

No necesitas autorizaciones de dominio para los certificados autoadministrados.

Mapas de certificados

Un mapa de certificados hace referencia a una o más entradas para asignar certificados específicos a nombres de host determinados. Las entradas del mapa de certificados también definen la lógica de selección que sigue el balanceador de cargas cuando establece conexiones de cliente. Puedes asociar un mapa de certificados con varios proxies de destino para su reutilización en varios balanceadores de cargas.

Si un cliente solicita un nombre de host especificado en un mapa de certificados, el balanceador de cargas entrega los certificados asignados a ese nombre de host. De lo contrario, el balanceador de cargas entrega el certificado principal, que es el primero de la lista para un proxy de destino. Para obtener más información, consulta Cómo funciona el Administrador de certificados.

Para obtener más información sobre cómo crear y administrar mapas de certificados, consulta Administra mapas de certificados.

Entradas de mapa de certificados

Una entrada de mapa de certificados es una lista de certificados que se entregan para un nombre de dominio específico. Puedes definir diferentes conjuntos de certificados para el mismo dominio. Por ejemplo, puedes subir un certificado ECDSA y un certificado RSA, y asignarlos al mismo nombre de dominio.

Cuando un cliente se conecta a un nombre de dominio, el balanceador de cargas negocia el tipo de certificado que se le entregará al cliente durante el protocolo de enlace.

Puedes asociar un máximo de cuatro certificados con una sola entrada del mapa de certificados.

Para obtener más información sobre cómo crear y administrar entradas de mapas de certificados, consulta Administra entradas de mapas de certificados.

Configuración de confianza

Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en el Administrador de certificados para su uso en situaciones de autenticación TLS mutua. Encapsula un solo almacén de confianza, que, a su vez, encapsula un ancla de confianza y, de forma opcional, uno o más certificados intermedios.

Para obtener más información sobre la autenticación TLS mutua (mTLS), consulta la descripción general de la TLS mutua en la documentación de Cloud Load Balancing.

Para obtener más información sobre las configuraciones de confianza y sus componentes, consulta Administra las configuraciones de confianza.

Almacenes de confianza

Un almacén de confianza representa la configuración del secreto de confianza en el Administrador de certificados para su uso en situaciones de autenticación TLS mutua. Un almacén de confianza encapsula un solo ancla de confianza y, de forma opcional, uno o más certificados intermedios.

Se aplican las siguientes limitaciones a los recursos de configuración de confianza:

Un recurso de configuración de confianza puede contener un solo almacén de confianza.
Un almacén de confianza puede contener hasta 200 anclas de confianza y hasta 100 certificados de AC intermedios.

Anclas de confianza

Un ancla de confianza representa un solo certificado raíz para su uso en situaciones de autenticación TLS mutua. Un ancla de confianza se encapsula en un almacén de confianza.

Certificados intermedios

Un certificado intermedio es un certificado firmado por un certificado raíz o por otro certificado intermedio en el almacén de confianza. Los certificados intermedios se usan para la autenticación mutua de TLS.

Si tienes certificados intermedios, uno o más de ellos se pueden encapsular en un almacén de confianza, según la configuración de tu PKI. Además de los certificados intermedios existentes, la configuración de confianza incluye todos los certificados intermedios como parte de la evaluación de confianza para todas las solicitudes de conexión.

Certificados que requieren una lista de entidades permitidas

Para permitir que los clientes se autentiquen con un certificado autofirmado, vencido o no válido, agrega el certificado al campo allowlistedCertificates de la configuración de confianza. También puedes agregar el certificado si no tienes acceso a los certificados raíz y intermedios. No necesitas un almacén de confianza para agregar un certificado a una lista de entidades permitidas.

Cuando agregas un certificado a la lista de entidades permitidas, el Administrador de certificados considera que es válido si cumple con las siguientes condiciones:

El certificado se puede analizar.
El cliente demuestra que posee la clave privada del certificado.
Se cumplen las restricciones del campo Nombre alternativo del sujeto (SAN).

Parámetros de configuración de emisión de certificados

Una configuración de emisión de certificados es un recurso que permite que Certificate Manager use un grupo de AC de tu propia instancia de Certificate Authority Service para emitir certificados administrados por Google. Una configuración de emisión de certificados te permite especificar parámetros para la emisión y el vencimiento de los certificados, así como el algoritmo de claves para los certificados emitidos.

Para obtener más información sobre cómo crear y administrar configuraciones de emisión de certificados, consulta Administra los recursos de configuración de emisión de certificados.

¿Qué sigue?

Cómo funciona el Administrador de certificados

Componentes principales del Administrador de certificados Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.