Perfiles de certificados
En este tema, se proporcionan perfiles de certificados que puedes usar para varias situaciones de emisión de certificados. Puedes hacer referencia a estos perfiles de certificado cuando crees un certificado o una autoridad certificadora (AC) con Google Cloud CLI o la consola de Google Cloud.
Usa las referencias gcloud
especificadas en este documento junto con la marca --use-preset-profile
para utilizar el perfil de certificado que se adapte a tus necesidades.
Sin restricciones
Los perfiles de certificado no restringidos no agregan restricciones ni límites.
Raíz sin restricciones
Accesible como: root_unconstrained
El siguiente perfil de certificado no tiene restricciones de uso de clave extendido ni de longitud de ruta de acceso.
Esta CA puede emitir cualquier tipo de certificado, incluidas las CA subordinadas. Estos valores son apropiados para una AC raíz autofirmada, pero también puedes usarlos en una AC subordinada no restringida.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinada sin restricciones con una ruta de interacciones de cero
Accesible como: subordinate_unconstrained_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que no tenga restricciones de uso extendido de clave (EKU), pero que tenga una restricción de longitud de ruta de acceso que no permita la emisión de AC subordinadas. Estos valores son apropiados para las AC que emiten certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mutua
Los certificados de seguridad mutua de la capa de transporte (mTLS) se pueden usar para la autenticación TLS del servidor, de cliente o de TLS mutua.
mTLS subordinada
Accesible como: subordinate_mtls_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una CA que pueda emitir certificados de entidad final utilizables para el TLS del servidor, el TLS del cliente o la autenticación TLS mutua. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS de entidad final
Accesible como: leaf_mtls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con TLS de cliente, TLS del servidor o mTLS. Por ejemplo, certificados SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS del cliente
Los certificados TLS de cliente se usan para autenticar a un cliente.
TLS de cliente subordinada
Accesible como: subordinate_client_tls_pathlen_0
Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para la TLS del cliente. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS de cliente de entidad final
Accesible como: leaf_client_tls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS del cliente. Por ejemplo, un cliente que se autentica ante un firewall TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS del servidor
Los certificados TLS del servidor se usan para autenticar un servidor.
TLS del servidor subordinado
Accesible como: subordinate_server_tls_pathlen_0
Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para el TLS del servidor. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS del servidor de entidad final
Accesible como: leaf_server_tls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS del servidor.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Firma de código
Las firmas digitales se usan para la autenticación de código.
Firma de código subordinada
Accesible como: subordinate_code_signing_pathlen_0
Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para la firma de código. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también pueden funcionar en el caso de una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Firma de código de entidad final
Accesible como: leaf_code_signing
Puedes usar el siguiente perfil de certificados para configurar certificados de entidad final que sean compatibles con la firma de código.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME es un protocolo de firma de correos electrónicos que ayuda a mejorar la seguridad del correo electrónico.
S/MIME subordinada
Accesible como: subordinate_smime_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final utilizables para S/MIME. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME de entidad final
Accesible como: leaf_smime
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con S/MIME. S/MIME a menudo se utiliza para la encriptación o la integridad de los correos electrónicos de extremo a extremo.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
¿Qué sigue?
- Obtén más información sobre las plantillas de certificados.
- Obtén más información sobre los controles de políticas.
- Obtén más información para usar una política de emisión.