En esta página se describe cómo crear y gestionar un recurso de configuración de emisión de certificados.
Para obtener más información sobre los recursos de configuración de emisión de certificados, consulta Configuraciones de emisión de certificados.
Crear un recurso de configuración de emisión de certificados
Antes de crear el recurso de configuración de emisión, configura la integración del Servicio de Autoridades de Certificación con Gestor de Certificados.
Para crear un recurso de configuración de emisión de certificados, especifica el tiempo de validez del certificado, el porcentaje de la ventana de rotación, el algoritmo de clave y el grupo de CAs que se va a usar.
Aunque uses un pool de ACs regionales para emitir un certificado TLS gestionado por Google, el certificado se puede usar en todo el mundo.
Consola
En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud
Haz clic en Crear. Se mostrará la página Create a Certificate Issuance Config (Crear una configuración de emisión de certificados).
En el campo Name (Nombre), introduce un nombre único para el recurso de configuración de emisión de certificados.
Opcional: En el campo Descripción, escribe una descripción de la configuración de emisión.
En Ubicación, selecciona Global o Regional. Si has seleccionado Regional, elige la misma Región que tu certificado y tu grupo de ACs.
En el campo Tiempo de validez, especifica la validez del certificado emitido en días. El valor debe estar entre 21 y 30 días (ambos incluidos).
En Porcentaje de la ventana de rotación, especifica el porcentaje del tiempo de vida del certificado en el que se inicia el proceso de renovación. Para consultar el intervalo de valores válidos, consulta Porcentaje de tiempo de vida y ventana de rotación.
En la lista Algoritmo de clave, seleccione el algoritmo de clave que se usará al generar la clave privada.
En la lista Grupo de ACs, selecciona el nombre del grupo de ACs que quieras asignar a este recurso de configuración de emisión de certificados.
En el campo Etiquetas, especifica las etiquetas que quieras asociar al certificado. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.
Haz clic en Crear.
gcloud
Para crear un recurso de configuración de emisión de certificados, usa el comando
certificate-manager issuance-configs create:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Haz los cambios siguientes:
ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.CA_POOL: la ruta y el nombre completos del recurso del grupo de ACs que quieras asignar al recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME: la duración del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es 30 días (30D). Esta marca es opcional.ROTATION_WINDOW_PERCENTAGE: el porcentaje del tiempo de vida restante del certificado antes de la renovación. El valor predeterminado es 66%. Para consultar el intervalo de valores válidos, consulte [Porcentaje de la ventana de tiempo de vida y rotación](#lifetime-rotation-percentage). Esta marca es opcional.KEY_ALGORITHM: el algoritmo de cifrado que se usa para generar la clave privada. Los valores válidos sonecdsa-p256yrsa-2048. El valor predeterminado esrsa-2048. Esta marca es opcional.LOCATION: la ubicación de destino. Google Cloud
API
Crea el recurso de configuración de emisión de certificados haciendo una solicitud POST al método certificateIssuanceConfigs.create de la siguiente manera:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Haz los cambios siguientes:
PROJECT_ID: el ID del Google Cloud proyecto.LOCATION: la ubicación de destino. Google CloudISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.DESCRIPTION: una descripción significativa del recurso de configuración de emisión de certificados.CA_POOL: la ruta y el nombre completos del recurso del grupo de ACs que quieras asignar al recurso de configuración de emisión de certificados.CERTIFICATE_LIFETIME: la duración del certificado en días. Los valores válidos son de 21 a 30 días en el formato de duración absoluta. El valor predeterminado es 30 días (30D). Esta marca es opcional.ROTATION_WINDOW_PERCENTAGE: el porcentaje del tiempo de vida restante del certificado antes de la renovación. El valor predeterminado es 66%. Para consultar el intervalo de valores válidos, consulte [Porcentaje de la ventana de tiempo de vida y rotación](#lifetime-rotation-percentage). Esta marca es opcional.KEY_ALGORITHM: el algoritmo de cifrado que se usa para generar la clave privada. Los valores válidos sonecdsa-p256yrsa-2048. El valor predeterminado esrsa-2048. Esta marca es opcional.
Porcentaje de tiempo de vida y de ventana de rotación
Cuando creas un recurso de configuración de emisión de certificados, también defines la duración del certificado en el campo Lifetime y el momento en el que empieza el proceso de renovación del certificado antes de que caduque en el campo Rotation window percentage.
Para asegurarte de que el certificado se renueve al menos siete días antes de que caduque y siete días después de que se emita, define el porcentaje de la ventana de rotación en relación con el tiempo de validez del certificado. Para calcular el intervalo permitido del porcentaje de la ventana de rotación, usa las siguientes fórmulas:
- Valor mínimo: porcentaje de la ventana de rotación ≥ (7 / tiempo de vida) * 100
- Valor máximo: porcentaje de la ventana de rotación ≤ ( (Tiempo de vida - 7) / Tiempo de vida) * 100
En las fórmulas anteriores, 7 es siete días.
Si el valor mínimo es un valor decimal, redondéalo al número entero más próximo. Si el valor máximo es un valor decimal, redondéalo a la baja al número entero más próximo.
Actualizar una configuración de emisión de certificados
Cuando actualizas una configuración de emisión de certificados, puedes hacer lo siguiente:
- Especificar etiquetas nuevas
- Especificar una nueva descripción
gcloud
Para actualizar un recurso de configuración de emisión de certificados, usa el
certificate-manager issuance-configs update
comando:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Haz los cambios siguientes:
ISSUANCE_CONFIG_NAME: el nombre de la configuración de emisión de certificados de destino que quieras actualizar.LABELS: etiquetas que quiera especificar para la configuración de emisión de certificados. Las etiquetas deben especificarse en una lista delimitada por comas como paresKEY=VALUE. Este campo es opcional.DESCRIPTION: la descripción de la configuración de emisión del certificado. Este campo es opcional.
API
Usa el método
certificateIssuanceConfigs.patch
para actualizar una configuración de emisión de certificados:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Haz los cambios siguientes:
PROJECT_ID: el ID del Google Cloud proyecto.ISSUANCE_CONFIG_NAME: el nombre de la configuración de emisión de certificados de destino que quieras actualizar.LABEL_KEY: la clave de la etiqueta. Este campo es opcional.LABEL_VALUE: el valor de la etiqueta. Este campo es opcional.DESCRIPTION: la configuración de emisión de certificados.
Mostrar configuraciones de emisión de certificados
Puede ver todos los recursos de configuración de emisión de certificados de su proyecto y sus detalles.
Consola
En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud
En la pestaña Configs de emisión, se muestran todos los recursos de configuración de emisión de certificados gestionados por Gestor de certificados en el proyecto seleccionado.
gcloud
Para enumerar los recursos de configuración de emisión de certificados, usa el comando
certificate-manager issuance-configs list:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Haz los cambios siguientes:
FILTER: expresión que limita los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por etiquetas y hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.
PAGE_SIZE: el número de resultados que se devolverán por página.LIMIT: número máximo de resultados que se devolverán.SORT_BY: lista delimitada por comas de camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.LOCATION: la ubicación de destino. Google Cloud
API
Para enumerar los recursos de configuración de emisión de certificados configurados, haz una solicitud LIST
al método certificateIssuanceConfigs.list de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Haz los cambios siguientes:
PROJECT_ID: el ID del Google Cloud proyecto.FILTER: expresión que limita los resultados devueltos a valores específicos.Por ejemplo, para filtrar los resultados por etiquetas y hora de creación, puedes especificar lo siguiente:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta la sección Ordenar y filtrar resultados de listas de la documentación de Cloud Key Management Service.
PAGE_SIZE: el número de resultados que se devolverán por página.SORT_BY: lista delimitada por comas de camposnamepor los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.
Ver el estado de un recurso de configuración de emisión de certificados
Consola
En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud
Haga clic en el nombre del recurso de configuración de emisión de certificados que quiera ver. En la página Certificate Issuance Config (Configuración de emisión de certificados) se muestra información detallada sobre el recurso de configuración de emisión de certificados.
gcloud
Para ver el estado de un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs describe:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sustituye ISSUANCE_CONFIG_NAME por el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
API
Para ver el estado del recurso de configuración de emisión de certificados, haz una solicitud GET al método certificateIssuanceConfigs.get de la siguiente manera:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Haz los cambios siguientes:
PROJECT_ID: el ID del Google Cloud proyecto.ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
Eliminar un recurso de configuración de emisión de certificados
Antes de eliminar un recurso de configuración de emisión de certificados, primero debes eliminar el certificado gestionado por Google que lo referencia.
Para inhabilitar la última CA que hayas habilitado en un grupo de CAs al que se haga referencia en el recurso de configuración de emisión de certificados, o para eliminar el grupo de CAs por completo, primero debes eliminar todos los recursos de configuración de emisión de certificados que hagan referencia al grupo de CAs.
Consola
En la consola, ve a la pestaña Configs de emisión de la página Gestor de certificados. Google Cloud
Selecciona la casilla de la configuración de emisión que quieras eliminar.
Haz clic en Eliminar.
En el cuadro de diálogo que aparece, haz clic en Eliminar para confirmar la acción.
gcloud
Para eliminar un recurso de configuración de emisión de certificados, usa el comando certificate-manager issuance-configs delete:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Haz los cambios siguientes:
ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.LOCATION: la ubicación de destino. Google Cloud
API
Elimina el recurso de configuración de emisión de certificados haciendo una solicitud DELETE
al método certificateIssuanceConfigs.delete de la siguiente manera:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Haz los cambios siguientes:
PROJECT_ID: el ID del Google Cloud proyecto.ISSUANCE_CONFIG_NAME: el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de ACs de destino.
Siguientes pasos
- Gestionar certificados
- Gestionar mapas de certificados
- Gestionar entradas de mapa de certificados
- Gestionar autorizaciones de DNS