Administrar certificados

En esta página, se describe cómo usar el Administrador de certificados para crear y administrar certificados de seguridad de la capa de transporte (TLS) (anteriormente SSL).

Para obtener más información, consulta Certificados TLS admitidos.

Crea un certificado administrado por Google

Certificate Manager te permite crear certificados administrados por Google de las siguientes maneras:

  • Certificados administrados por Google con autorización de balanceador de cargas (global)
  • Certificados administrados por Google con autorización de DNS (globales, regionales y entre regiones)
  • Certificados administrados por Google con Certificate Authority Service (servicio de CA) (globales, regionales y entre regiones)

Autorización del balanceador de cargas

La autorización del balanceador de cargas te permite obtener un certificado administrado por Google para tu dominio cuando el balanceador de cargas entrega el tráfico. Este método no requiere ningún registro DNS adicional para el aprovisionamiento de certificados. Puedes usar autorizaciones del balanceador de cargas para entornos nuevos sin tráfico existente. Para obtener información sobre cuándo usar la autorización del balanceador de cargas con un certificado administrado por Google, consulta Tipos de autorización de dominio para certificados administrados por Google.

Solo puedes crear certificados administrados por Google con autorización de balanceador de cargas en la ubicación global. Los certificados autorizados del balanceador de cargas no admiten dominios comodín.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global.

  6. En Permiso, selecciona una de las siguientes opciones:

    • Predeterminado: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

    No puedes usar la autorización del balanceador de cargas con una ubicación Regional o el alcance Todas las regiones.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Pública.

  9. En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  10. En Tipo de autorización, selecciona Autorización del balanceador de cargas.

  11. En el campo Etiquetas, especifica las etiquetas que se asociarán con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado global administrado por Google con autorización del balanceador de cargas, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAMES: Es una lista de los dominios objetivo delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAMES: Es una lista de los dominios objetivo delimitada por comas. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Autorización de DNS

Para usar certificados administrados por Google antes de que tu entorno de producción esté listo, puedes aprovisionarlos con autorizaciones de DNS. Para obtener información sobre cuándo usar la autorización de DNS con un certificado administrado por Google, consulta Tipos de autorización de dominio para certificados administrados por Google.

Para administrar certificados de forma independiente en varios proyectos, puedes usar la autorización de DNS por proyecto. Para obtener información sobre cómo crear certificados con autorización de DNS por proyecto, consulta Crea una autorización de DNS.

Antes de crear el certificado, haz lo siguiente:

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si seleccionaste Regional, selecciona tu región en la lista Región.

  6. En Permiso, selecciona una de las siguientes opciones:

    • Predeterminado: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • Todas las regiones: Si planeas usar el certificado con un balanceador de cargas de aplicaciones interno entre regiones.
    • Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.

    El campo Alcance no está disponible si seleccionaste una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Pública.

  9. En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. El nombre de dominio también puede ser un nombre de dominio comodín, como *.example.com.

  10. En Tipo de autorización, selecciona Autorización de DNS.

    En la página, se enumeran las autorizaciones de DNS de los nombres de dominio. Si un nombre de dominio no tiene una autorización de DNS asociada, sigue estos pasos para crear una:

    1. Haz clic en Crear la autorización de DNS faltante.
    2. En el campo Nombre de autorización de DNS, especifica el nombre de la autorización de DNS. El tipo de autorización de DNS predeterminado es FIXED_RECORD. Para administrar certificados de forma independiente en varios proyectos, selecciona la casilla de verificación Autorización por proyecto.
    3. Haz clic en Crear autorización de DNS.

  11. En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado administrado por Google con autorización de DNS, ejecuta el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de punto y asterisco (*.) indica un certificado comodín.
  • AUTHORIZATION_NAMES: Es una lista de nombres de autorizaciones de DNS delimitada por comas.
  • LOCATION: Es la ubicación Google Cloud objetivo. El valor predeterminado es global.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Terraform

Usa un recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Para crear el certificado, realiza una solicitud POST al método certificates. create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo.
  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Emitido por el Servicio de CA

Puedes integrar Certificate Manager con el servicio de CA para emitir certificados administrados por Google. Para emitir certificados globales administrados por Google, debes usar un grupo de CA regional en cualquier región. Para emitir certificados regionales administrados por Google, debes usar un grupo de CA en la misma región que tu certificado.

Antes de crear el certificado, configura la integración del servicio de CA con Certificate Manager.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si seleccionaste Regional, selecciona tu región en la lista Región.

  6. En Permiso, selecciona una de las siguientes opciones:

    • Predeterminado: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • Todas las regiones: Si planeas usar el certificado con un balanceador de cargas de aplicaciones interno entre regiones.
    • Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado.

    El campo Alcance no está disponible si seleccionaste una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado administrado por Google.

  8. En Tipo de autoridad certificadora, selecciona Privada.

  9. En el campo Domain Names, especifica una lista delimitada por comas de los nombres de dominio del certificado. Cada nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

  10. En Select a certificate issuance config, selecciona el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.

  11. En el campo Etiquetas, especifica las etiquetas que se asociarán al certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  12. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado administrado por Google con Certificate Authority Service, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com, o un dominio comodín, como *.myorg.example.com. El prefijo de punto y asterisco (*.) indica un certificado comodín.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
  • LOCATION: Es la ubicación Google Cloud objetivo. El valor predeterminado es global.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

API

Para crear el certificado, realiza una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo.
  • CERTIFICATE_NAME: El nombre del certificado.
  • DOMAIN_NAME: Es el nombre del dominio de destino. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Es el nombre del recurso de configuración de emisión de certificados que hace referencia al grupo de CA de destino.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Sube un certificado autoadministrado

Para subir un certificado autoadministrado, sube el archivo del certificado (CRT) y el archivo de la clave privada (KEY) correspondiente. Puedes subir certificados X.509 TLS (SSL) globales y regionales de los siguientes tipos:

  • Certificados generados por autoridades certificadoras (CA) externas que elijas.
  • Certificados generados por las autoridades certificadoras que controlas
  • Certificados autofirmados, como se describe en Crea una clave privada y un certificado.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados, haz clic en Agregar certificado.

  3. En el campo Nombre del certificado, ingresa un nombre único para el certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción para el certificado. La descripción te permite identificar el certificado.

  5. En Ubicación, selecciona Global o Regional.

    Si seleccionaste Regional, selecciona tu región en la lista Región.

  6. En Permiso, selecciona una de las siguientes opciones:

    • Predeterminado: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • Todas las regiones: Si planeas usar el certificado con un balanceador de cargas de aplicaciones interno entre regiones.
    • Caché perimetral: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

    El campo Alcance no está disponible si seleccionaste una ubicación Regional.

  7. En Tipo de certificado, selecciona Crear certificado autoadministrado.

  8. En el campo Certificado, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  9. En el campo Certificado de clave privada, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  10. En el campo Etiquetas, especifica las etiquetas que se asociarán con el certificado. Para agregar una etiqueta, haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

  11. Haz clic en Crear.

    El certificado nuevo aparecerá en la lista de certificados.

gcloud

Para crear un certificado autoadministrado, usa el comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.
  • LOCATION: Es la ubicación Google Cloud objetivo. El valor predeterminado es global.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Terraform

Para subir un certificado autoadministrado, puedes usar un recurso google_certificate_manager_certificate con el bloque self_managed.

API

Sube el certificado realizando una solicitud POST al método certificates.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo.
  • CERTIFICATE_NAME: El nombre del certificado.
  • PEM_CERTIFICATE: Es el PEM del certificado.
  • PEM_KEY: Es la PEM de la clave.
  • SCOPE: Ingresa una de las siguientes opciones:
    • default: Si planeas usar el certificado con el balanceador de cargas de aplicaciones externo global o el balanceador de cargas de red del proxy externo global.
    • all-regions: Si planeas usar el certificado con el balanceador de cargas de aplicaciones interno entre regiones.
    • edge-cache: Si planeas usar el certificado con Media CDN y especificar varios dominios en el certificado

Actualiza un certificado

Puedes actualizar un certificado existente sin modificar sus asignaciones a nombres de dominio dentro del mapa de certificados correspondiente. Cuando actualices un certificado, asegúrate de que los SAN del certificado nuevo coincidan exactamente con los SAN del certificado existente.

Certificados administrados por Google

En el caso de los certificados administrados por Google, solo puedes actualizar la descripción y las etiquetas de un certificado.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificates, busca el certificado que deseas actualizar y, luego, haz clic en su nombre. En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  3. Haz clic en Editar. Aparecerá la página Editar certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción nueva para el certificado.

  5. Opcional: Puedes agregar, quitar o cambiar las etiquetas asociadas con el certificado. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y, luego, especifica un key y un value para tu etiqueta.

  6. Haz clic en Guardar. En la página Detalles del certificado que aparece, verifica que el certificado se haya actualizado.

gcloud

Para actualizar un certificado administrado por Google, usa el comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • DESCRIPTION: Es una descripción única del certificado.
  • LABELS: Es una lista de etiquetas separadas por comas que se aplican a este certificado.

API

Actualiza el certificado realizando una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • DESCRIPTION: Es una descripción del certificado.
  • LABEL_KEY: Es una clave de etiqueta aplicada al certificado.
  • LABEL_VALUE: Es un valor de etiqueta aplicado al certificado.

Certificados autoadministrados

Para actualizar un certificado autoadministrado, debes subir los siguientes archivos con codificación PEM:

  • El archivo CRT del certificado

  • El archivo de clave privada KEY correspondiente

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificates, busca el certificado que deseas actualizar y, luego, haz clic en su nombre. En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  3. Haz clic en Editar. Aparecerá la página Editar certificado.

  4. Opcional: En el campo Descripción, ingresa una descripción nueva para el certificado.

  5. Opcional: En el campo Certificado, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y, luego, selecciona el archivo de certificado con formato PEM.
    • Copia y pega el contenido de un certificado con formato PEM. El contenido debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE-----.

  6. Opcional: En el campo Certificado de clave privada, realiza una de las siguientes acciones:

    • Haz clic en el botón Subir y, luego, selecciona tu clave privada. Tu clave privada debe tener el formato PEM y no estar protegida con una frase de contraseña.
    • Copia y pega el contenido de una clave privada con el formato PEM. Las claves privadas deben comenzar con -----BEGIN PRIVATE KEY----- y terminar con -----END PRIVATE KEY-----.

  7. Opcional: Puedes agregar, quitar o cambiar las etiquetas asociadas con el certificado. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y, luego, especifica un key y un value para tu etiqueta.

  8. Haz clic en Guardar. En la página Detalles del certificado que aparece, verifica que el certificado se haya actualizado.

gcloud

Para actualizar un certificado autoadministrado, usa el comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • CERTIFICATE_FILE: Es la ruta de acceso y el nombre de archivo del archivo de certificado CRT.
  • PRIVATE_KEY_FILE: Es la ruta de acceso y el nombre de archivo del archivo de clave privada KEY.
  • DESCRIPTION: Es un valor de descripción único para este certificado.
  • LABELS: Es una lista de etiquetas separadas por comas que se aplican a este certificado.
  • LOCATION: Es la ubicación Google Cloud objetivo. Esta marca es opcional. Especifica esta marca solo para los certificados regionales.

API

Actualiza el certificado realizando una solicitud PATCH al método certificates.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo. Esta marca es opcional. Especifica esta marca solo para los certificados regionales.
  • CERTIFICATE_NAME: El nombre del certificado.
  • PEM_CERTIFICATE: Es el PEM del certificado.
  • PEM_KEY: Es la PEM de la clave.
  • DESCRIPTION: Es una descripción significativa del certificado.
  • LABEL_KEY: Es una clave de etiqueta aplicada al certificado.
  • LABEL_VALUE: Es un valor de etiqueta aplicado al certificado.

Cómo mostrar la lista de certificados

Puedes ver todos los certificados de tu proyecto y sus detalles, como la región, los nombres de host, la fecha de vencimiento y el tipo.

Console

En la página Administrador de certificados de la consola de Google Cloud , se pueden mostrar hasta 10,000 certificados. Si tu proyecto contiene más de 10,000 certificados administrados por Certificate Manager, usa el comando de gcloud CLI.

Sigue estos pasos para ver los certificados que aprovisionó Certificate Manager:

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. Haz clic en la pestaña Certificates. En esta pestaña, se enumeran todos los certificados que administra Certificate Manager en el proyecto seleccionado.

Para ver los certificados aprovisionados a través de Cloud Load Balancing, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la pestaña Certificados clásicos en la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificados clásicos, puedes ver una lista de todos los certificados clásicos configurados en el proyecto seleccionado.

    El Administrador de certificados no administra los certificados clásicos. Para obtener más información sobre cómo administrarlos, consulta la documentación sobre cómo usar certificados administrados por Google o usar certificados autoadministrados.

gcloud

Para enumerar los certificados, usa el comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación Google Cloud objetivo. Para enumerar los certificados de todas las regiones, usa - como valor. El valor predeterminado es -. Esta marca es opcional.

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtros que puedes usar con Certificate Manager, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se devolverán.

  • SORT_BY: Es una lista delimitada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

API

Para enumerar los certificados, realiza una solicitud LIST al método certificates.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo. Para enumerar los certificados de todas las regiones, usa - como valor.

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Hora de vencimiento: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nombres de DNS de SAN: --filter='san_dnsnames:"example.com"'
    • Estado del certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'

    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Para obtener más ejemplos de filtros que puedes usar con Certificate Manager, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

Cómo ver el estado de un certificado

Puedes ver el estado de un certificado existente, incluido su estado de aprovisionamiento y otra información detallada.

Console

Si tu proyecto contiene más de 10,000 certificados administrados por Certificate Manager, la página Certificate Manager en la consola deGoogle Cloud no los mostrará. En su lugar, usa el comando de gcloud CLI. Sin embargo, si tienes un vínculo directo a la página Detalles del certificado, puedes ver sus detalles en la consola de Google Cloud .

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la página que aparece, selecciona la pestaña Certificados.

  3. En la pestaña Certificates, ve al certificado de destino y, luego, haz clic en su nombre. En la página Detalles del certificado, se muestra información detallada sobre el certificado seleccionado.

  4. Opcional: Para ver la respuesta de REST de la API de Certificate Manager para este certificado, haz clic en REST equivalente.

  5. Opcional: Si el certificado tiene una configuración de emisión de certificados asociada que deseas ver, haz clic en el nombre del recurso de configuración de emisión de certificados asociado en el campo Configuración de emisión. La consola de Google Cloud muestra la configuración completa de la configuración de emisión de certificados.

gcloud

Para ver el estado de un certificado, usa el comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • LOCATION: Es la ubicación Google Cloud objetivo. La ubicación predeterminada es global. Esta marca es opcional.

API

Para ver el estado del certificado, haz una solicitud GET al método certificates.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo.
  • CERTIFICATE_NAME: El nombre del certificado.

Cómo borrar un certificado

Antes de borrar un certificado, quítalo de todas las entradas del mapa de certificados que hagan referencia a él. De lo contrario, no se podrá borrar. Para obtener más información, consulta Borra una entrada del mapa de certificados.

Console

  1. En la consola de Google Cloud , ve a la página Certificate Manager.

    Ir al Administrador de certificados

  2. En la pestaña Certificates, selecciona la casilla de verificación del certificado que deseas borrar.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo que aparece, haz clic en Borrar para confirmar.

gcloud

Para borrar un certificado, usa el comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • CERTIFICATE_NAME: El nombre del certificado.
  • LOCATION: Es la ubicación Google Cloud objetivo. La ubicación predeterminada es global. Esta marca es opcional.

API

Borra el certificado con una solicitud DELETE al método certificates.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • LOCATION: Es la ubicación Google Cloud objetivo.
  • CERTIFICATE_NAME: El nombre del certificado.

¿Qué sigue?