Configura la mTLS del backend

En esta página, se proporcionan instrucciones para configurar mTLS de backend con certificados administrados por el cliente para balanceadores de cargas de aplicaciones externos globales.

Los pasos para configurar la mTLS del backend son similares a los de la TLS autenticada del backend, excepto que también debes crear un certificado para el balanceador de cargas. Este certificado, también conocido como el certificado de cliente, se adjunta al recurso de configuración de autenticación del backend. El balanceador de cargas usa este certificado de cliente para autenticarse en los backends.

Para configurar la mTLS de backend, debes hacer lo siguiente:

  • Crea un recurso de configuración de confianza que conste de certificados raíz e intermedios.
  • Crea un certificado de cliente y súbelo al Administrador de certificados.
  • Crea un recurso de configuración de autenticación de backend que haga referencia a la configuración de confianza y al certificado del cliente.
  • Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas.

Antes de comenzar

Permisos

En esta sección, se enumeran los permisos necesarios para configurar la mTLS del backend.
Operación Permiso
Crea una configuración de confianza certificatemanager.trustconfigs.create en el proyecto Google Cloud de destino
Crear un certificado de cliente certificatemanager.certs.create en el proyecto Google Cloud de destino
Crea un recurso de configuración de autenticación de backend
  • certificatemanager.certs.use en el certificado de destino
  • certificatemanager.trustconfigs.use en la configuración de confianza de destino
  • networksecurity.backendauthenticationconfigs.create en el proyecto Google Cloud de destino
    		•
    Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas
  • compute.backendservice.update en el servicio de backend objetivo
  • networksecurity.backendauthenticationconfigs.use en el recurso de configuración de autenticación de backend de destino
    		•

    Descripción general de la configuración

    En las siguientes secciones, se describen los pasos para configurar la mTLS del backend según la arquitectura que se muestra en el siguiente diagrama:

    Componentes de la mTLS del backend
    Componentes de mTLS de backend (haz clic para ampliar).

    Crea los certificados raíz y intermedios

    En esta sección, se usa la biblioteca OpenSSL para crear el certificado raíz (anclaje de confianza) y el certificado intermedio.

    Un certificado raíz se encuentra en la parte superior de la cadena de certificados. Un certificado intermedio es parte de la cadena de confianza que se remonta al certificado raíz. El certificado intermedio está firmado criptográficamente por el certificado raíz. Cuando el balanceador de cargas recibe un certificado de servidor, lo valida estableciendo una cadena de confianza desde el certificado del servidor hasta el ancla de confianza configurada.

    Usa los siguientes comandos para crear los certificados raíz e intermedios.

    1. Crea un archivo de configuración de OpenSSL.

      En el siguiente ejemplo, el archivo de configuración (example.cnf) contiene la sección [ca_exts], que especifica las extensiones X.509 que marcan el certificado como adecuado para una AC. Para obtener más información sobre los requisitos de los certificados raíz y intermedios, consulta Requisitos de los certificados.

      cat > example.cnf << EOF
[req]
distinguished_name = empty_distinguished_name

[empty_distinguished_name]
# Kept empty to allow setting via -subj command-line argument.

[ca_exts]
basicConstraints=critical,CA:TRUE
keyUsage=keyCertSign
extendedKeyUsage=serverAuth

EOF

    2. Crea un certificado raíz X.509 autofirmado (root.cert). El certificado raíz se autofirma con su propia clave privada (root.key).

      openssl req -x509 \
    -new -sha256 -newkey rsa:2048 -nodes \
    -days 3650 -subj '/CN=root' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout root.key -out root.cert

    3. Crea la solicitud de firma de certificado (CSR) int.req para el certificado intermedio.

      openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -subj '/CN=int' \
    -config example.cnf \
    -extensions ca_exts \
    -keyout int.key -out int.req

    4. Firma la CSR para crear el certificado intermedio X.509 (int.cert). La CSR se firma con el certificado raíz.

      openssl x509 -req \
    -CAkey root.key -CA root.cert \
    -set_serial 1 \
    -days 3650 \
    -extfile example.cnf \
    -extensions ca_exts \
    -in int.req -out int.cert

    Da formato a los certificados

    Para incluir certificados nuevos o existentes en un almacén de confianza, debes dar formato a los certificados en una sola línea y almacenarlos en variables de entorno para que el archivo YAML de configuración de confianza pueda hacer referencia a ellos.

    export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

    export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

    Crea un recurso de configuración de confianza

    Una configuración de confianza es un recurso que representa la configuración de tu infraestructura de clave pública (PKI) en el Administrador de certificados.

    Para crear un recurso de configuración de confianza, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud , ve a la página Certificate Manager.

      Ir al Administrador de certificados

    2. En la pestaña Trust Configs, haz clic en Add Trust Config.

    3. Ingresa un nombre para la configuración.

    4. En Ubicación, selecciona Global. La ubicación indica dónde se almacena el recurso de configuración de confianza. Para los balanceadores de cargas de aplicaciones externos globales, debes crear un recurso de configuración de confianza global.

    5. En la sección Trust store, haz clic en Add trust anchor y sube el archivo de certificado con codificación PEM o copia el contenido del certificado.

    6. Haz clic en Agregar.

    7. En la sección Trust store, haz clic en Add intermediate CA y sube el archivo de certificado con codificación PEM o copia el contenido del certificado. Este paso te permite agregar otro nivel de confianza entre el certificado raíz y el certificado del servidor.

    8. Haz clic en Agregar para agregar la AC intermedia.

    9. Para agregar el certificado que agregaste a la lista de entidades permitidas, haz clic en Agregar.

    10. Haz clic en Crear.

    Verifica que el nuevo recurso de configuración de confianza aparezca en la lista de configuraciones.

    gcloud

    1. Crea un archivo YAML de configuración de confianza (trust_config.yaml) que especifique los parámetros de configuración de confianza. Este recurso de configuración de confianza de ejemplo contiene un almacén de confianza con un ancla de confianza y un certificado intermedio. Este ejemplo de recurso de configuración de confianza lee el contenido del certificado de las variables de entorno creadas en el paso anterior Da formato a los certificados.

      cat << EOF > trust_config.yaml
trustStores:
- trustAnchors:
  - pemCertificate: "${ROOT_CERT}"
  intermediateCas:
  - pemCertificate: "${INTERMEDIATE_CERT}"
EOF

      Para crear un almacén de confianza con anclas de confianza adicionales o certificados de AC intermedios, agrega filas pemCertificate en la sección adecuada.

    2. Para importar el archivo YAML de configuración de confianza, usa el comando gcloud certificate-manager trust-configs import:

      Para los balanceadores de cargas de aplicaciones externos globales, especifica global como la ubicación en la que se almacena el recurso de configuración de confianza.

      gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global

      Reemplaza lo siguiente:

      • TRUST_CONFIG_NAME: el nombre del recurso de configuración de confianza

    Crear un certificado de cliente

    En mTLS de backend, el balanceador de cargas actúa como el cliente y el backend actúa como el servidor.

    Para habilitar las mTLS del backend, el balanceador de cargas debe demostrar su identidad al backend. Esta autenticación se realiza con un certificado de cliente que el balanceador de cargas presenta al backend. El servidor de backend debe validar el certificado del cliente con su propia cadena de confianza.

    Cuando se conecta a un servidor de backend, el balanceador de cargas establece la indicación de nombre del servidor (SNI) en el nombre de host especificado en la configuración de TLS. El servidor de backend selecciona el certificado SSL/TLS adecuado según este valor de SNI. El balanceador de cargas espera que el valor de SNI coincida con un nombre alternativo del sujeto (SAN) que se indica en el certificado del servidor de backend.

    Los certificados de cliente pueden ser certificados administrados de una AC privada a través del servicio de AC o certificados de PKI privados autoadministrados. En este ejemplo, el certificado del cliente se emite con certificados autoadministrados. En esta sección, se usa la biblioteca OpenSSL para crear el certificado de la AC raíz y el certificado de cliente.

    Para crear un certificado de cliente, completa los siguientes pasos:

    1. Crea un archivo de configuración de OpenSSL.

      En el siguiente ejemplo, el archivo de configuración (example.cnf) contiene la sección [ca_exts], que especifica las extensiones X.509 que marcan el certificado como adecuado para una AC. El atributo extendedKeyUsage se establece en clientAuth. Para obtener más información sobre los requisitos de los certificados raíz y intermedios, consulta Requisitos de los certificados.

        cat > example.cnf << EOF
  [req]
  distinguished_name = empty_distinguished_name

  [empty_distinguished_name]
  # Kept empty to allow setting via -subj command-line argument.

  [ca_exts]
  basicConstraints=critical,CA:TRUE
  keyUsage=keyCertSign
  extendedKeyUsage=clientAuth

  EOF

    2. Crea un certificado de AC raíz X.509 autofirmado (root.cert). El certificado raíz se autofirma con su propia clave privada (root.key).

        openssl req -x509 \
      -new -sha256 -newkey rsa:2048 -nodes \
      -days 3650 -subj '/CN=root' \
      -config example.cnf \
      -extensions ca_exts \
      -keyout root.key -out root.cert

    3. Crea un archivo de configuración para generar la CSR del certificado del cliente.

      El siguiente archivo de configuración (client.config) contiene la sección [extension_requirements], que especifica las extensiones X.509 que se incluirán en la CSR. Para obtener más información sobre los requisitos de los certificados de cliente, consulta Requisitos de los certificados.

        cat > client.config << EOF
  [req]
  default_bits              = 2048
  req_extensions            = extension_requirements
  distinguished_name        = dn_requirements
  prompt                    = no

  [extension_requirements]
  basicConstraints          = critical, CA:FALSE
  keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
  extendedKeyUsage          = clientAuth

  [dn_requirements]
  countryName               = US
  stateOrProvinceName       = California
  localityName              = San Francisco
  0.organizationName        = example
  organizationalUnitName    = test
  commonName                = test.example.com
  emailAddress              = test@example.com

  EOF

    4. Crea la CSR (client.csr) para el certificado de cliente.

        openssl req -new \
      -config client.config \
      -keyout client.key -out client.csr

    5. Crea el certificado de cliente (client.cert) a partir de la CSR. El certificado de la AC raíz firma la CSR para emitir el certificado de cliente X.509.

        openssl x509 -req \
      -CAkey root.key -CA root.cert \
      -days 365 \
      -extfile client.config \
      -extensions extension_requirements \
      -in client.csr -out client.cert

    Sube el certificado de cliente al Administrador de certificados

    Para subir el certificado de cliente al Administrador de certificados, completa los siguientes pasos:

    Console

    1. En la consola de Google Cloud , ve a la página Certificate Manager.

      Ir al Administrador de certificados

    2. En la pestaña Certificados, haz clic en Agregar certificado.

    3. Ingrese un nombre para el certificado.

      Este nombre debe ser único para el proyecto.

    4. Opcional: Ingresa una descripción para el certificado. La descripción te ayuda a identificar un certificado específico más adelante.

    5. En Ubicación, selecciona Global.

    6. En Alcance, selecciona Autenticación del cliente.

    7. En Tipo de certificado, elige Crear certificado autoadministrado.

    8. En el campo Certificado, sube un archivo de certificado con codificación PEM o kopía y pega el contenido de un certificado con codificación PEM.

    9. En el campo Certificado de clave privada, sube una clave privada con codificación PEM que no esté protegida con una frase de contraseña o copia y pega el contenido de la clave privada con codificación PEM.

    10. Especifica una etiqueta para asociarla al certificado. Si es necesario, puedes agregar más de una etiqueta. Para agregar una etiqueta, haz clic en el botón Agregar etiqueta y especifica una key y una value para tu etiqueta.

    11. Haz clic en Crear. Verifica que el certificado nuevo aparezca en la lista de certificados.

    gcloud

    1. Para subir el certificado de cliente al Administrador de certificados, usa el comando gcloud certificate-manager certificates create. El alcance de este certificado es client-auth, lo que indica que este certificado se usa como certificado de cliente en mTLS de backend.

      gcloud certificate-manager certificates create CLIENT_ CERTIFICATE_NAME \
    --certificate-file=client.cert \
    --private-key-file=client.key \
    --scope=client-auth \
    --global

      Reemplaza lo siguiente:

      • CLIENT_CERTIFICATE_NAME: Es el nombre del recurso de certificado del cliente. El recurso de configuración de autenticación de backend usa este certificado de cliente con el permiso client-auth.

    Crea un recurso de configuración de autenticación de backend

    Para crear un recurso de configuración de autenticación de backend (BackendAuthenticationConfig), completa los siguientes pasos.

    Console

    1. En la consola de Google Cloud , ve a la página Configuración de autenticación.

      Ve a Configuración de autenticación

    2. En la pestaña Autenticación de backend, haz clic en Crear.
    3. Ingresa un nombre para el recurso de configuración de autenticación de backend.
    4. Selecciona el recurso de certificado de cliente que creaste antes.
    5. Opcional: Selecciona las raíces de confianza públicas.
    6. Selecciona el recurso de configuración de confianza que creaste antes.
    7. Haz clic en Crear.

    Verifica que se muestre el recurso de configuración de autenticación de backend.

    gcloud

    1. Crea un archivo YAML que especifique de forma declarativa los diferentes atributos del recurso de configuración de autenticación del backend.

      Adjunta el certificado de cliente al recurso de configuración de autenticación de backend para habilitar la mTLS del backend.

      cat << EOF > BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml
name: projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
trustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
clientCertificate: projects/PROJECT_ID/locations/global/certificates/CLIENT_ CERTIFICATE_NAME
wellKnownRoots: PUBLIC_ROOTS
EOF

      Reemplaza lo siguiente:

      • BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME : Es el nombre del archivo YAML en el que se define el recurso de configuración de autenticación de backend.
      • PROJECT_ID: Es el ID de tu proyecto Google Cloud .
      • BACKEND_AUTH_CONFIG_NAME: El nombre del recurso de configuración de autenticación de backend
      • TRUST_CONFIG_NAME: Es el nombre del recurso de configuración de confianza que creaste antes.
      • CLIENT_CERTIFICATE_NAME: Es el nombre del recurso de certificado de cliente que creaste antes.

    2. Para importar el recurso de configuración de autenticación de backend, usa el comando gcloud network-security backend-authentication-configs import:

      gcloud network-security backend-authentication-configs import BACKEND_AUTH_CONFIG_NAME \
   --source=BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME.yaml \
   --location=global

      Reemplaza lo siguiente:

      • BACKEND_AUTH_CONFIG_NAME: Es el nombre del recurso de configuración de autenticación de backend.

      • BACKEND_AUTHENTICATION_CONFIG_RESOURCE_FILENAME: Es el nombre del archivo YAML en el que se define el recurso de configuración de AuthenticationBackend.

    Adjunta el recurso de configuración de autenticación de backend al servicio de backend del balanceador de cargas

    Para adjuntar el recurso de configuración de autenticación de backend (BackendAuthenticationConfig) al servicio de backend del balanceador de cargas, completa los siguientes pasos.

    Console

    1. En la consola de Google Cloud , ve a la página Balanceo de cargas.

      Ir a Balanceo de cargas

    2. En la pestaña Backends, selecciona el servicio de backend para el que necesitas habilitar TLS con autenticación de backend y mTLS de backend.

    3. Haz clic en Editar.

    4. Expande la sección Configuraciones avanzadas.

    5. En la sección Autenticación de backend, selecciona la casilla de verificación Habilitar.

    6. Opcional: Especifica el nombre de host de SNI y los SAN aceptados para validar el certificado de backend.

    7. Para adjuntar el recurso de configuración de autenticación de backend al servicio de backend, en la lista Configuración de autenticación de backend, selecciona el recurso de configuración de autenticación de backend.

    8. Haz clic en Continuar.

    9. Para actualizar la configuración del servicio de backend, haz clic en Actualizar.

    gcloud

    1. Para enumerar todos los recursos de servicio de backend de tu proyecto, usa el comando gcloud compute backend-services list.

      gcloud compute backend-services list

      Toma nota del nombre del servicio de backend al que se conectará el recurso BackendAuthenticationConfig. Este nombre se denomina BACKEND_SERVICE_NAME en los siguientes pasos.

    2. Para exportar la configuración del servicio de backend a un archivo, usa el comando gcloud beta compute backend-services export.

      gcloud beta compute backend-services export BACKEND_SERVICE_NAME \
    --destination=BACKEND_SERVICE_FILENAME.yaml \
    --global

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • BACKEND_SERVICE_FILENAME: Es el nombre y la ruta de acceso a un archivo YAML en el que se exporta la configuración del servicio de backend.

    3. Actualiza el atributo tlsSettings del servicio de backend y diríjalo al recurso de configuración de autenticación de backend. Además, puedes configurar el nombre de host de SNI y las SAN aceptadas en el servicio de backend para validar el certificado de backend.

        cat << EOF >> BACKEND_SERVICE_FILENAME.yaml
  tlsSettings:
    authenticationConfig: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/global/backendAuthenticationConfigs/BACKEND_AUTH_CONFIG_NAME
    sni: examplepetstore.com
    subjectAltNames:
    - dnsName: examplepetstore.com
    - dnsName: api.examplepetstore.com
  EOF

      Los valores de SNI y SAN en la declaración de YAML anterior son solo para fines de ejemplo. Puedes reemplazarlos por valores reales que sean relevantes para tu configuración.

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_FILENAME: Es el nombre del archivo YAML al que se exporta la configuración del servicio de backend.

      • PROJECT_ID: Es el ID de tu Google Cloud proyecto.

      • BACKEND_AUTH_CONFIG_NAME: Es el nombre del recurso de configuración de autenticación de backend.

    4. Para importar la configuración actualizada del servicio de backend desde un archivo, usa el comando gcloud beta compute backend-services import.

      gcloud beta compute backend-services import BACKEND_SERVICE_NAME \
    --source=BACKEND_SERVICE_FILENAME.yaml \
    --global

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • BACKEND_SERVICE_FILENAME: Es el nombre del archivo YAML de configuración del servicio de backend.

    Crea un certificado de servidor de backend

    En esta sección, se proporciona una opción de configuración adicional para crear un certificado de servidor (hoja) firmado por el certificado intermedio, que es parte de la configuración de confianza. Esto garantiza que se pueda establecer una cadena de confianza desde el certificado del servidor hasta el ancla de confianza.

    Si ya creaste un recurso de configuración de confianza que contiene un certificado intermedio, haz lo siguiente:

    1. Crea un archivo de configuración para generar la CSR del certificado del servidor.

      El siguiente archivo de configuración (server.config) contiene la sección [extension_requirements], que especifica las extensiones X.509 que se incluirán en la CSR. Para obtener más información sobre los requisitos de los certificados de servidor, consulta Requisitos de los certificados.

      cat > server.config << EOF
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = critical, CA:FALSE
keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage          = serverAuth
subjectAltName            = @alt_names

[alt_names]
DNS.1 = examplepetstore.com
DNS.2 = api.examplepetstore.com

[dn_requirements]
countryName               = US
stateOrProvinceName       = California
localityName              = San Francisco
0.organizationName        = example
organizationalUnitName    = test
commonName                = examplepetstore.com
emailAddress              = test@examplepetstore.com

EOF

    2. Crea la CSR (server.csr) para el certificado del servidor.

      openssl req -new \
    -sha256 -newkey rsa:2048 -nodes \
    -config server.config \
    -keyout server.key -out server.csr

    3. Firma la CSR para emitir el certificado de servidor X.509 (server.cert). El certificado intermedio firma la CSR.

      openssl x509 -req \
    -CAkey int.key -CA int.cert \
    -days 365 \
    -extfile server.config \
    -extensions extension_requirements \
    -in server.csr -out server.cert

      Cuando el balanceador de cargas se conecta al servidor de backend, este presenta su certificado (server.cert) para autenticarse en el balanceador de cargas y completar el proceso de autenticación de backend.

    Opciones de configuración de SSL adicionales en un servidor web Apache

    En esta sección opcional, se explica el proceso para actualizar las opciones de configuración de SSL en un servidor Apache según los certificados de cliente y servidor que creaste antes.

    1. Copia la clave privada (server.key) y el certificado (server.cert) del servidor en el servidor web de Apache.

          cat > server.key << EOF
    -----BEGIN PRIVATE KEY-----
    [...]
    -----END PRIVATE KEY-----
    EOF

    sudo cp ./server.key /etc/ssl/private/server.key

      Reemplaza [...] por la clave privada del servidor con codificación PEM que creaste antes.

          cat > server.cert << EOF
    -----BEGIN CERTIFICATE-----
    [...]
    -----END CERTIFICATE-----
    EOF

    sudo cp ./server.cert /etc/ssl/certs/server.cert

      Reemplaza [...] por el certificado de servidor codificado en PEM que creaste antes.

    2. Sube el certificado de cliente a la configuración de confianza del servidor para validar el certificado de cliente.

            cat > client.cert << EOF
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----
      EOF

      sudo cp ./client.cert /etc/ssl/certs/client.cert

      Reemplaza [...] por el certificado de cliente codificado en PEM que creaste antes.

    3. Actualiza la configuración de SSL del servidor web Apache.

      Actualiza la configuración de SSL de Apache para habilitar el tráfico HTTPS con el certificado SSL y la clave privada especificados.

          sudo vi /etc/apache2/sites-available/default-ssl.conf

    ----
    SSLCertificateFile      /etc/ssl/certs/server.cert
    SSLCertificateKeyFile /etc/ssl/private/server.key
    ----

      Actualiza la configuración de SSL de Apache para que requiera autenticación de certificados de cliente y especifica el certificado de la AC para la validación.

          sudo vi /etc/apache2/sites-available/default-ssl.conf

    ----
    SSLVerifyClient require
    SSLVerifyDepth 5
    SSLCACertificateFile /etc/ssl/certs/client.cert
    ----

    4. Vuelve a generar un hash de los certificados de la AC.

          sudo c_rehash /etc/ssl/certs/

    5. Reinicia el servidor web Apache para aplicar los cambios.

          sudo systemctl restart apache2.service

    ¿Qué sigue?