Implementa un certificado global administrado por Google con autorización de balanceador de cargas

En este instructivo, se muestra cómo usar el Administrador de certificados para implementar un certificado global administrado por Google con autorización del balanceador de cargas.

La autorización del balanceador de cargas es el método más eficiente para obtener un certificado administrado por Google. Mantiene limpia tu configuración de DNS y aprovisiona el certificado TLS después de que se completa la configuración.

Los siguientes balanceadores de cargas admiten certificados administrados por Google con autorización del balanceador de cargas:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico
  • Balanceador de cargas de red del proxy externo global

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Crea un certificado administrado por Google emitido por una autoridad certificadora (AC) de confianza pública con autorización del balanceador de cargas a través del Administrador de certificados.
  • Implementa el certificado en un balanceador de cargas compatible con un proxy HTTPS de destino.

Si implementas un certificado en un dominio de producción, el tráfico se interrumpirá brevemente mientras se configura y activa el certificado en tu balanceador de cargas.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init

    14. Roles obligatorios

    Asegúrate de tener los siguientes roles para completar las tareas de este instructivo:

    • Propietario del Administrador de certificados (roles/certificatemanager.owner)

      Se requiere para crear y administrar recursos de Certificate Manager.

    • Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) o administrador de redes de Compute (roles/compute.networkAdmin)

      Se requiere para crear y administrar el proxy HTTPS de destino.

    • Administrador de DNS (roles/dns.admin)

      Se requiere si deseas usar Cloud DNS como tu solución de DNS.

    Para obtener más información, consulta lo siguiente:

    Nombres de dominio

    Para crear certificados, obtén los nombres de dominio completamente calificados (FQDN) de los dominios que posees. Si no tienes un dominio, puedes usar Cloud Domains para registrar uno.

    Crea el balanceador de cargas

    En este instructivo, se supone que ya creaste y configuraste los backends, las verificaciones de estado, los servicios de backend y los mapas de URL del balanceador de cargas. Si creaste un balanceador de cargas de aplicaciones externo, anota el nombre del mapa de URL, ya que lo necesitarás más adelante en este instructivo.

    Si no creaste el balanceador de cargas, consulta las siguientes páginas para crear uno:

Crea un certificado administrado por Google con autorización del balanceador de cargas

Para crear un certificado administrado por Google con autorización de balanceador de cargas, haz lo siguiente:

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona Predeterminado.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Pública.

  9. En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  10. En Tipo de autorización, selecciona Autorización del balanceador de cargas.

  11. En el campo Etiquetas, especifica las etiquetas que se asociarán con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado global administrado por Google con autorización del balanceador de cargas, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAMES: Es una lista de los dominios objetivo delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAMES: Es una lista de los dominios objetivo delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Implementa el certificado en un balanceador de cargas

Para implementar el certificado global administrado por Google, usa un mapa de certificados.

Crea un mapa de certificados

Crea un mapa de certificados que haga referencia a la entrada del mapa de certificados asociada a tu certificado:

gcloud

Para crear un mapa de certificados, usa el comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados de destino.

Terraform

Para crear un mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una entrada de mapa de certificados

Crea una entrada de mapa de certificados y asóciala con tu certificado y tu mapa de certificados:

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

    Si deseas crear un certificado que abarque tanto un dominio comodín como un dominio raíz, especifica el nombre de host con un comodín y una raíz, como example.com y *.example.com. Además, debes especificar dos entradas de mapa de certificados: una para example.com y otra para *.example.com.

Terraform

Para crear una entrada de mapa de certificados con un dominio raíz, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Para crear una entrada del mapa de certificados con un dominio comodín, usa un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verifica que la entrada del mapa de certificados esté activa

Verifica que la entrada del mapa de certificados esté activa antes de adjuntar el mapa de certificados correspondiente al proxy de destino.

Para verificar la entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.

El resultado es similar a este:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Adjunta el mapa de certificados al proxy de destino

Puedes adjuntar el mapa de certificados a un proxy de destino nuevo o existente.

gcloud

Para adjuntar el mapa de certificados a un proxy de destino nuevo, usa el comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Reemplaza lo siguiente:

  • PROXY_NAME: El nombre del proxy de destino.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados que hace referencia a la entrada del mapa de certificados y al certificado asociado.
  • URL_MAP: El nombre del mapa de URL

Para adjuntar el mapa de certificados a un proxy HTTPS de destino existente, usa el comando gcloud compute target-https-proxies update. Si no conoces el nombre del proxy de destino existente, ve a la página Proxies de destino y anota el nombre del proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Después de crear o actualizar el proxy de destino, ejecuta el siguiente comando para verificarlo:

gcloud compute target-https-proxies list

Terraform

Para adjuntar el mapa de certificados al proxy de destino, puedes usar un recurso google_compute_target_https_proxy.

Cuando configuras un proxy de destino, si adjuntas certificados TLS (SSL) directamente y también a través de un mapa de certificados, el proxy usa los certificados a los que hace referencia el mapa de certificados y omite los certificados TLS (SSL) adjuntos directamente.

Verifica el estado del certificado

Antes de implementar un certificado en un balanceador de cargas, verifica que esté activo. El estado del certificado puede tardar varios minutos en cambiar a ACTIVE.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, verifica la columna Estado del certificado.

gcloud

Para verificar el estado del certificado, ejecuta el siguiente comando:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Reemplaza CERTIFICATE_NAME por el nombre del certificado administrado por Google de destino.

El resultado es similar a este:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Si el estado del certificado no es ACTIVE después de varias horas, verifica lo siguiente:

Si quieres ver más pasos para solucionar problemas, consulta Soluciona problemas del Administrador de certificados.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en este instructivo, bórralos.

  1. Borra el balanceador de cargas y sus recursos.

    Para obtener más información, consulta Limpia una configuración de balanceo de cargas.

  2. Borra o desconecta el mapa de certificados del proxy.

    Para borrar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Si quieres conservar el proxy HTTPS de destino, desvincula el mapa de certificados del proxy. Antes de separar el mapa de certificados, ten en cuenta lo siguiente:

    • Si hay certificados TLS (SSL) adjuntos directamente al proxy, al separar el mapa de certificados, el proxy reanudará el uso de esos certificados TLS (SSL) adjuntos directamente.
    • Si no hay certificados TLS (SSL) adjuntos directamente al proxy, no se puede separar el mapa de certificados del proxy. Primero debes adjuntar al menos un certificado TLS (SSL) directamente al proxy antes de poder separar el mapa de certificados.

    Para separar el mapa de certificados, ejecuta el siguiente comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  3. Borra la entrada del mapa de certificados:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
    • CERTIFICATE_MAP_NAME: El nombre del mapa de certificados.

  4. Borra el mapa de certificados:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Reemplaza CERTIFICATE_MAP_NAME por el nombre del mapa de certificados.

  5. Borra el certificado administrado por Google:

    Console

    1. En la consola de Google Cloud , ve a la página Certificate Manager.

      Ir al Administrador de certificados

    2. En la pestaña Certificates, selecciona la casilla de verificación del certificado.

    3. Haz clic en Borrar.

    4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

    gcloud 

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

¿Qué sigue?