Gestionar entradas de mapa de certificados

Una entrada de mapa de certificados asocia un certificado a un nombre de host de destino y a un mapa de certificados de destino. En esta página se describe cómo crear y gestionar entradas de mapas de certificados.

Para obtener más información, consulta Entradas de mapa de certificados.

Crear una entrada de mapa de certificados

Puedes crear una entrada de mapa de certificados y asociar un máximo de cuatro certificados a ella. Le recomendamos que utilice un algoritmo de clave diferente para cada certificado cuando especifique varios certificados para un nombre de host. Por ejemplo, puedes usar ECDSA para un certificado y RSA para otro. Asociar varios certificados a una sola entrada de mapa de certificados también es útil cuando se migran certificados autogestionados a certificados gestionados por Google.

Para asociar varios certificados a una entrada de mapa de certificados, proporcione una lista de nombres de certificados separados por comas. Para cada subdominio, debes crear una entrada de mapa de certificados independiente.

gcloud

Para crear una entrada de mapeo de certificados, usa el gcloud certificate-manager maps entries createcomando:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Haz los cambios siguientes:

  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: una lista separada por comas de los nombres de los certificados que quieras asociar a esta entrada de mapa de certificados.
  • HOSTNAME: el nombre de host que quieras asociar a la entrada del mapa de certificados.

API

Crea la entrada de mapa de certificados haciendo una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • HOSTNAME: el nombre de host que quieras asociar a la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: el nombre del primer certificado que quieras asociar a esta entrada de mapa de certificados.
  • CERTIFICATE_NAME2: el nombre del segundo certificado que quieras asociar a esta entrada de mapa de certificados.

Terraform

Para crear una entrada de asignación de certificados, puedes usar un google_certificate_manager_certificate_map_entry recurso.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.

Para obtener información sobre cómo selecciona el balanceador de carga los certificados durante una negociación, consulta la lógica de selección de certificados.

Crear una entrada de mapa de certificados principal

Puedes especificar un certificado principal para que lo use el balanceador de carga si el cliente no proporciona un nombre de host o si el balanceador de carga no puede asociar el nombre de host con una entrada de mapa de certificados configurada.

gcloud

Para crear una entrada de mapa de certificados principal, usa el gcloud certificate-manager maps entries create comando con la marca set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Haz los cambios siguientes:

  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: una lista separada por comas de los nombres de los certificados que quieras asociar a esta entrada de mapa de certificados.

API

Crea la entrada de mapa de certificados haciendo una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: el nombre del primer certificado que quieras asociar a la entrada del mapa de certificados principal.
  • CERTIFICATE_NAME2: el nombre del segundo certificado que quieras asociar a la entrada del mapa de certificados principal.

Para obtener información sobre cómo selecciona el balanceador de carga los certificados durante una negociación, consulta la lógica de selección de certificados.

Actualizar una entrada de mapa de certificados

Cuando actualizas una entrada de mapa de certificados, puedes hacer lo siguiente:

  • Asignar o retirar certificados
  • Modificar la descripción
  • Modificar las etiquetas

gcloud

Para actualizar una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Haz los cambios siguientes:

  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: el nombre del certificado que quieres asociar a la entrada del mapa de certificados.
  • DESCRIPTION: una descripción significativa de esta entrada de mapa de certificados.
  • LABELS: una lista de etiquetas aplicadas a esta entrada de mapa de certificados.

API

Actualiza la entrada del mapa de certificados haciendo una solicitud PATCH al método certificateMaps.certificateMapEntries.patch de la siguiente manera:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Haz los cambios siguientes:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_NAME: el nombre del certificado.
  • DESCRIPTION: una descripción significativa de esta entrada de mapa de certificados.
  • LABEL_KEY: una clave de etiqueta aplicada a esta entrada de mapa de certificados.
  • LABEL_VALUE: valor de etiqueta aplicado a esta entrada de mapa de certificados.

Mostrar entradas de mapa de certificados

Puede enumerar, filtrar y ordenar todas las entradas de mapa de certificados configuradas del proyecto.

Consola

  1. En la Google Cloud consola, ve a la pestaña Mapas de certificados de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Haz clic en el nombre del mapa de certificados que contiene las entradas de mapa. La página Detalles del mapa de certificados muestra información detallada sobre el mapa de certificados seleccionado y su lista asociada de entradas de mapa.

gcloud

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Haz los cambios siguientes:

  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados por los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Objeto de comparación (definido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • LIMIT: número máximo de resultados que se devolverán.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

API

Para enumerar las entradas de mapa de certificados configuradas en un mapa de certificados concreto, haz una solicitud LIST al método certificateMaps.certificateMapEntries.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados de destino.

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados por los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Objeto de comparación (definido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

Ver el estado de una entrada de mapa de certificados

Puedes ver el estado de una entrada de mapa de certificados.

Consola

  1. En la Google Cloud consola, ve a la pestaña Mapas de certificados de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Haz clic en el nombre del mapa de certificados que contiene las entradas de mapa. En la página Detalles del mapa de certificados se muestra información detallada sobre el mapa de certificados seleccionado y su lista de entradas de mapa asociada.

  3. En la sección Entradas de mapa, haga clic en el nombre de la entrada de mapa que quiera ver. En la página Detalles de la entrada del mapa se muestra información detallada sobre la entrada del mapa seleccionada.

gcloud

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Haz los cambios siguientes:

  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.

API

Para ver el estado de la entrada del mapa de certificados, haz una solicitud GET al método certificateMaps.certificateMapEntries.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.

Eliminar una entrada de un mapa de certificados

Si elimina una entrada de un mapa de certificados, los certificados asociados a esa entrada se desvinculan del proxy de destino. Si eliminas una entrada de mapa de certificados, no se eliminarán los certificados asociados de Google Cloud. Debes eliminar esos certificados manualmente.

gcloud

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Haz los cambios siguientes:

  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.

API

Para eliminar una entrada de un mapa de certificados, haz una solicitud DELETE al método certificateMaps.certificateMapEntries.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • CERTIFICATE_MAP_NAME: el nombre del mapa de certificados al que está adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: el nombre de la entrada del mapa de certificados.

Siguientes pasos