Administrar entradas de mapas de certificados

Una entrada de mapa de certificados asocia un certificado con un nombre de host de destino y un mapa de certificados de destino. En esta página, se describe cómo crear y administrar entradas de mapas de certificados.

Para obtener más información, consulta Entradas del mapa de certificados.

Crea una entrada de mapa de certificados

Puedes crear una entrada de mapa de certificado y asociar un máximo de cuatro certificados a ella. Recomendamos que uses un algoritmo de clave diferente para cada certificado cuando especifiques varios certificados para un nombre de host. Por ejemplo, puedes usar ECDSA para un certificado y RSA para otro. Asociar varios certificados a una sola entrada del mapa de certificados también ayuda cuando se migran certificados autoadministrados a certificados administrados por Google.

Para asociar varios certificados con una entrada de mapa de certificados, proporciona una lista de nombres de certificados delimitados por comas. Para cada subdominio, debes crear una entrada de mapa de certificados independiente.

gcloud

Para crear una entrada de mapa de certificados, usa el comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada del mapa de certificados.
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.

API

Para crear la entrada del mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • HOSTNAME: Es el nombre de host que deseas asociar con la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: Es el nombre del primer certificado que deseas asociar con esta entrada de mapa de certificados.
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con esta entrada de mapa de certificados.

Terraform

Para crear una entrada de mapa de certificados, puedes usar un recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Para obtener información sobre cómo el balanceador de cargas selecciona certificados durante un handshake, consulta Lógica de selección de certificados.

Crea una entrada de mapa de certificados principal

Puedes especificar un certificado principal para que el balanceador de cargas lo entregue si el cliente no proporciona un nombre de host o si el balanceador de cargas no puede hacer coincidir el nombre de host con una entrada de mapa de certificados configurada.

gcloud

Para crear una entrada de mapa de certificados principal, usa el comando gcloud certificate-manager maps entries create con la marca set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAMES: Es una lista delimitada por comas de los nombres de los certificados que deseas asociar con esta entrada del mapa de certificados.

API

Para crear la entrada del mapa de certificados, realiza una solicitud POST al método certificateMaps.certificateMapEntries.create de la siguiente manera:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_NAME1: Es el nombre del primer certificado que deseas asociar con la entrada del mapa de certificados principal.
  • CERTIFICATE_NAME2: Es el nombre del segundo certificado que deseas asociar con la entrada principal del mapa de certificados.

Para obtener información sobre cómo el balanceador de cargas selecciona certificados durante un handshake, consulta Lógica de selección de certificados.

Actualiza una entrada de mapa de certificados

Cuando actualizas una entrada del mapa de certificados, puedes hacer lo siguiente:

  • Asigna o anula la asignación de certificados
  • Modifica la descripción
  • Modifica las etiquetas

gcloud

Para actualizar una entrada del mapa de certificados, usa el comando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_NAME: Es el nombre del certificado que deseas asociar con la entrada del mapa de certificados.
  • DESCRIPTION: Es una descripción significativa para esta entrada del mapa de certificados.
  • LABELS: Es una lista de etiquetas aplicadas a esta entrada del mapa de certificados.

API

Actualiza la entrada del mapa de certificados realizando una solicitud PATCH al método certificateMaps.certificateMapEntries.patch de la siguiente manera:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_NAME: El nombre del certificado.
  • DESCRIPTION: Es una descripción significativa para esta entrada del mapa de certificados.
  • LABEL_KEY: Es una clave de etiqueta aplicada a esta entrada del mapa de certificados.
  • LABEL_VALUE: Es un valor de etiqueta aplicado a esta entrada del mapa de certificados.

Enumera las entradas del mapa de certificados

Puedes enumerar, filtrar y ordenar todas las entradas del mapa de certificados configuradas del proyecto.

Console

  1. En la Google Cloud consola, ve a la pestaña Mapas de certificados en la página Certificate Manager.

    Ir al Administrador de certificados

  2. Haz clic en el nombre del mapa de certificados que contiene las entradas del mapa. En la página Detalles del mapa de certificados, se muestra información detallada sobre el mapa de certificados seleccionado y su lista asociada de entradas de mapa.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (establecido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtros que puedes usar con Certificate Manager, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se devolverán.

  • SORT_BY: Es una lista delimitada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

API

Para enumerar las entradas del mapa de certificados configuradas en un mapa de certificados determinado, realiza una solicitud LIST al método certificateMaps.certificateMapEntries.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados de destino.

  • FILTER: Es una expresión que restringe los resultados devueltos a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Estado de publicación: --filter='state=ACTIVE'
    • Matcher (establecido como principal): --filter='-matcher=PRIMARY'
    • Nombre de host: --filter='hostname=example.com'
    • Certificados asignados: --filter='certificates:my-cert'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtros que puedes usar con Certificate Manager, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de los campos name por los que se ordenan los resultados devueltos. El orden de clasificación predeterminado es ascendente. Para obtener un orden descendente, prefija el campo con una virgulilla (~).

Cómo ver el estado de una entrada de mapa de certificados

Puedes ver el estado de una entrada del mapa de certificados.

Console

  1. En la Google Cloud consola, ve a la pestaña Mapas de certificados en la página Certificate Manager.

    Ir al Administrador de certificados

  2. Haz clic en el nombre del mapa de certificados que contiene las entradas del mapa. En la página Detalles del mapa de certificados, se muestra información detallada sobre el mapa de certificados seleccionado y su lista asociada de entradas del mapa.

  3. En la sección Entradas del mapa, haz clic en el nombre de la entrada del mapa que deseas ver. En la página Detalles de entrada de mapas, se muestra información detallada sobre la entrada de mapa seleccionada.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

API

Para ver el estado de la entrada del mapa de certificados, realiza una solicitud GET al método certificateMaps.certificateMapEntries.get de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.

Borra una entrada de mapa de certificados

Borrar una entrada de mapa de certificados desvincula los certificados asociados con la entrada de mapa de certificados del proxy de destino. Borrar una entrada de mapa de certificados no borra los certificados asociados de Google Cloud. Debes borrar manualmente esos certificados.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Reemplaza lo siguiente:

  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.

API

Para borrar una entrada de mapa de certificados, realiza una solicitud DELETE al método certificateMaps.certificateMapEntries.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Cloud .
  • CERTIFICATE_MAP_NAME: Es el nombre del mapa de certificados al que se adjunta la entrada del mapa de certificados.
  • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre de la entrada del mapa de certificados.

¿Qué sigue?