证书配置文件
本主题提供了可用于各种证书颁发场景的证书配置文件。使用 Google Cloud CLI 或 Google Cloud 控制台创建证书或证书授权机构 (CA) 时,您可以引用这些证书配置文件。
结合使用本文档中指定的 gcloud 引用和 --use-preset-profile 标志,以利用符合您需求的证书配置文件。
不受约束
不受限制的证书配置文件不会添加任何限制条件。
根不限
以下列方式可访问:root_unconstrained
以下证书配置文件既没有扩展密钥使用,也没有路径长度限制。
此 CA 可以颁发任何类型的证书,包括从属 CA。这些值适用于自签名根 CA,但您也可以将其用于不受限制的从属 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
从属不约束路径长度为零
以下列方式可访问:subordinate_unconstrained_pathlen_0
您可以使用以下证书配置文件配置没有扩展密钥用途 (EKU) 限制但路径长度限制不允许颁发任何从属 CA 的 CA。这些值适用于颁发最终实体证书的 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
双向 TLS
双向传输层安全协议 (mTLS) 证书可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证。
从属 mTLS
以下列方式可访问:subordinate_mtls_pathlen_0
您可以使用以下证书配置文件来配置 CA,让其能够颁发可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证的最终实体证书。此证书配置文件的路径长度限制不允许其他从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体 mTLS
以下列方式可访问:leaf_mtls
您可以使用以下证书配置文件配置与客户端 TLS、服务器 TLS 或 mTLS 兼容的最终实体证书。例如 SPIFFE 证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
客户端 TLS
客户端 TLS 证书用于对客户端进行身份验证。
从属客户端 TLS
以下列方式可访问:subordinate_client_tls_pathlen_0
您可以使用以下证书配置文件来配置能颁发客户端 TLS 的最终实体证书的 CA。此证书配置文件的路径长度限制不允许其他从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体客户端 TLS
以下列方式可访问:leaf_client_tls
您可以使用以下证书配置文件配置与客户端 TLS 兼容的最终实体证书。例如,客户端向 TLS 防火墙验证自身的身份。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
服务器 TLS
服务器 TLS 证书用于对服务器进行身份验证。
从属服务器 TLS
以下列方式可访问:subordinate_server_tls_pathlen_0
您可以使用以下证书配置文件来配置能颁发服务器 TLS 的最终实体证书的 CA。此证书配置文件的路径长度限制不允许其他从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体服务器 TLS
以下列方式可访问:leaf_server_tls
您可以使用以下证书配置文件配置与服务器 TLS 兼容的最终实体证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
代码签名
使用数字签名进行代码身份验证。
从属代码签名
以下列方式可访问:subordinate_code_signing_pathlen_0
您可以使用以下证书配置文件来配置 CA,该 CA 可颁发可用于代码签名的最终实体证书。此证书配置文件的路径长度限制不允许其他从属 CA。这些值适用于从属 CA,但也适用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体代码签名
以下列方式可访问:leaf_code_signing
您可以使用以下证书配置文件配置与代码签名兼容的最终实体证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME 是一种电子邮件签名协议,可帮助提高电子邮件的安全性。
从属 S/MIME
以下列方式可访问:subordinate_smime_pathlen_0
您可以使用以下证书配置文件来配置 CA,让其能够颁发可用于 S/MIME 的最终实体证书。此证书配置文件的路径长度限制不允许其他从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体 S/MIME
以下列方式可访问:leaf_smime
您可以使用以下证书配置文件配置与 S/MIME 兼容的最终实体证书。S/MIME 通常用于端到端电子邮件完整性或加密。
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false