Gestionar configuraciones de confianza

En esta página se describe cómo crear y gestionar configuraciones de confianza para usarlas en escenarios de autenticación TLS mutua (mTLS).

Para obtener más información sobre mTLS, consulta los siguientes recursos:

Crear una configuración de confianza

Cuando creas una configuración de confianza, debes especificar las anclas de confianza que se usan para validar el certificado.

Para crear una configuración de confianza, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la pestaña Configuraciones de confianza de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Haz clic en Añadir configuración de confianza. Se abrirá la página Create Trust Config (Crear configuración de confianza).

  3. En el campo Nombre, introduce un nombre para la configuración.

    El nombre debe ser único en el proyecto. Además, debe empezar por una letra minúscula, seguida de un máximo de 62 letras minúsculas, números o guiones, y no puede acabar en guion.

  4. Opcional: En el campo Descripción, escribe una descripción de la configuración. Esta descripción te ayudará a identificar una configuración específica más adelante.

  5. Opcional: En el campo Etiquetas, especifica las etiquetas que quieras asociar a la configuración de confianza. Para añadir una etiqueta, haz clic en Añadir etiqueta y especifica una clave y un valor para la etiqueta.

  6. En Ubicación, selecciona Global o Regional.

    Si has seleccionado Regional, elige la región.

  7. En la sección Almacén de confianza, añade anclas de confianza y CAs intermedias.

    Puedes especificar varias anclas de confianza y certificados intermedios usando varias instancias de la carga útil PEM completa del certificado (un certificado por instancia).

    1. En la sección Anclas de confianza, haz clic en Añadir ancla de confianza y sube el archivo de certificado codificado en PEM o copia el contenido del certificado. Cuando hayas terminado, haz clic en Añadir.

    2. Opcional: En la sección Autoridades de certificación intermedias, haz clic en Añadir autoridad de certificación intermedia y sube el archivo de certificado intermedio codificado en PEM o copia el contenido del certificado intermedio. Cuando hayas terminado, haz clic en Añadir.

      Este paso te permite añadir otro nivel de confianza entre el certificado raíz y el certificado de tu servidor.

    3. Opcional: En la sección Certificados incluidos en la lista de permitidos, haga clic en Añadir certificado y suba el archivo del certificado codificado en PEM o copie el contenido del certificado. De esta forma, se añade el certificado a una lista de permitidos. Cuando hayas terminado, haz clic en Añadir.

    Para especificar varias anclas de confianza o certificados intermedios en la especificación de recursos de configuración de confianza, utilice varias instancias del campo pemCertificate. Cada instancia del campo contiene un solo certificado.

    La configuración de confianza siempre considera que un certificado de una lista de permitidos es válido. Para encapsular varios certificados en una lista de permitidos, usa varias instancias del campo pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados añadidos a una lista de permitidos.

    La configuración de confianza siempre considera que un certificado de una lista de permitidos es válido si cumple determinadas condiciones: debe poder analizarse, tener una prueba de propiedad de la clave privada y cumplir las restricciones del campo SAN del certificado. Los certificados caducados también se consideran válidos cuando se añaden a una lista de permitidos. Para obtener más información sobre el formato codificado en PEM, consulta el estándar RFC 7468.

  8. Haz clic en Crear.

Comprueba que la nueva configuración de confianza aparezca en la lista de configuraciones.

gcloud

  1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de configuración de confianza.

    El archivo tiene el siguiente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Haz los cambios siguientes:

    • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
    • CERTIFICATE_PEM_PAYLOAD: la carga útil PEM completa del certificado que se va a usar en el recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: la carga útil PEM completa del certificado intermedio que se va a usar en el recurso de configuración de confianza.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: los certificados que se añaden a una lista de permitidos para usarlos en este recurso de configuración de confianza.

    Para especificar varias anclas de confianza o certificados intermedios en la especificación de recursos de configuración de confianza, utilice varias instancias del campo pemCertificate. Cada instancia del campo contiene un solo certificado.

    La configuración de confianza siempre considera que un certificado de una lista de permitidos es válido. Para encapsular varios certificados en una lista de permitidos, usa varias instancias del campo pemCertificate, un certificado por instancia. No necesitas un almacén de confianza cuando usas certificados añadidos a una lista de permitidos.

    La configuración de confianza siempre considera que un certificado de una lista de permitidos es válido si cumple determinadas condiciones: debe poder analizarse, tener una prueba de propiedad de la clave privada y cumplir las restricciones del campo SAN del certificado. Los certificados caducados también se consideran válidos cuando se añaden a una lista de permitidos. Para obtener más información sobre el formato codificado en PEM, consulta el estándar RFC 7468.

  2. Para importar el archivo YAML de configuración de confianza, usa el comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Haz los cambios siguientes:

    • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
    • PROJECT_ID: el ID del Google Cloud proyecto.
    • TRUST_CONFIG_FILE: la ruta completa y el nombre del archivo YAML de configuración de confianza que has creado en el paso 1.
    • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Haz una solicitud POST al método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
  • DESCRIPTION: una descripción significativa de este recurso de configuración de confianza. Este valor es opcional.
  • CERTIFICATE_PEM_PAYLOAD: la carga útil PEM completa del certificado que se va a usar en el recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: la carga útil PEM completa del certificado intermedio que se va a usar en el recurso de configuración de confianza. Este valor es opcional.
  • ALLOWLISTED_CERT: el certificado que se añade a una lista de permitidos para usarlo en este recurso de configuración de confianza. Este valor es opcional.

Actualizar una configuración de confianza

Para actualizar una configuración de confianza, crea otro archivo YAML de configuración de confianza que especifique los nuevos parámetros de configuración de confianza e importa este archivo en Gestor de certificados.

Consola

  1. En la Google Cloud consola, ve a la pestaña Configuraciones de confianza de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Busca y selecciona la configuración de confianza que quieras actualizar.

  3. En la columna Más opciones, haga clic en Más acciones de la configuración que quiera actualizar y, a continuación, seleccione Editar.

  4. Haz los cambios necesarios.

  5. Haz clic en Guardar.

Verifica que los cambios de configuración se hayan actualizado.

gcloud

  1. Exporta el archivo YAML de configuración de confianza.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Haz los cambios siguientes:

    • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
    • PROJECT_ID: el ID del Google Cloud proyecto.
    • TRUST_CONFIG_FILE: la ruta completa y el nombre del archivo YAML de configuración de confianza.
    • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

  2. Edita el archivo YAML de configuración de confianza.

    El archivo tiene el siguiente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Haz los cambios siguientes:

    • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
    • CERTIFICATE_PEM_PAYLOAD: la carga útil PEM completa del certificado que se va a usar en el recurso de configuración de confianza.
    • INTER_CERT_PEM_PAYLOAD: la carga útil PEM completa del certificado intermedio que se va a usar en el recurso de configuración de confianza. Este valor es opcional.
    • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: los certificados que se añaden a una lista de permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

  3. Importa el nuevo archivo de configuración de confianza en el gestor de certificados con el nombre de recurso de configuración de confianza que ya tengas.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Haz los cambios siguientes:

    • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
    • PROJECT_ID: el ID del Google Cloud proyecto.
    • TRUST_CONFIG_FILE: la ruta completa y el nombre del archivo YAML de configuración de confianza.
    • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Haz una solicitud PATCH al método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
  • DESCRIPTION: una descripción significativa de este recurso de configuración de confianza. Esta descripción es opcional.
  • CERTIFICATE_PEM_PAYLOAD: la carga útil PEM completa del certificado que se va a usar en el recurso de configuración de confianza.
  • INTER_CERT_PEM_PAYLOAD: la carga útil PEM completa del certificado intermedio que se va a usar en el recurso de configuración de confianza. Este valor es opcional.
  • ALLOWLISTED_CERT: el certificado que se añade a una lista de permitidos para usarlo en este recurso de configuración de confianza. Este valor es opcional.

Mostrar configuraciones de confianza

Puedes ver todas las configuraciones de confianza configuradas de tu proyecto.

Consola

  1. En la Google Cloud consola, ve a la pestaña Configuraciones de confianza de la página Gestor de certificados.

    Ir a Certificate Manager

  2. En la pestaña Configuraciones de confianza, puede ver una lista de todos los recursos de configuración de confianza configurados en el proyecto seleccionado.

gcloud

Usa el comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Haz los cambios siguientes:

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, para filtrar los resultados por etiquetas y hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • LIMIT: número máximo de resultados que se devolverán.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. Para obtener una lista de las configuraciones de confianza de todas las regiones, usa - como valor. El valor predeterminado es -. Esta marca es opcional.

API

Haz una solicitud GET al método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. Para ver todas las configuraciones de confianza de todas las ubicaciones, especifica un solo guion (-).

  • FILTER: expresión que limita los resultados devueltos a valores específicos.

    Por ejemplo, para filtrar los resultados por etiquetas y hora de creación, puedes especificar lo siguiente: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver más ejemplos de filtros que puedes usar con Certificate Manager, consulta Ordenar y filtrar resultados de listas en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: el número de resultados que se devolverán por página.

  • SORT_BY: lista delimitada por comas de campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para que sea descendente, añade una tilde (~) antes del campo.

Ver configuraciones de confianza

Puedes ver los detalles de una configuración de confianza específica.

Consola

  1. En la Google Cloud consola, ve a la pestaña Configuraciones de confianza de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Haz clic en el recurso de configuración de confianza que quieras ver. En la página Detalles de la configuración de confianza se muestra información detallada sobre el recurso de configuración de confianza seleccionado.

gcloud

Usa el comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Haz los cambios siguientes:

  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Haz una solicitud GET al método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.

Eliminar una configuración de confianza

Antes de eliminar una configuración de confianza, desvincula la configuración de confianza del recurso ClientAuthentication (ServerTlsPolicy).

Consola

  1. En la Google Cloud consola, ve a la pestaña Configuraciones de confianza de la página Gestor de certificados.

    Ir a Certificate Manager

  2. Selecciona la casilla de verificación de la configuración de confianza que quieras eliminar.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo que aparece, haz clic en Eliminar para confirmar la acción.

gcloud

Usa el comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Haz los cambios siguientes:

  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

API

Haz una solicitud DELETE al método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Haz los cambios siguientes:

  • PROJECT_ID: el ID del Google Cloud proyecto.
  • LOCATION: la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
  • TRUST_CONFIG_ID: el ID del recurso de configuración de confianza.

Siguientes pasos