Profil sertifikat

Topik ini menyediakan profil sertifikat yang dapat Anda gunakan untuk berbagai skenario penerbitan sertifikat. Anda dapat mereferensikan profil sertifikat ini saat membuat sertifikat atau otoritas sertifikasi (CA) menggunakan Google Cloud CLI atau Konsol Google Cloud.

Gunakan referensi gcloud yang ditentukan dalam dokumen ini bersama dengan tanda --use-preset-profile untuk menggunakan profil sertifikat yang sesuai dengan kebutuhan Anda.

Tidak dibatasi

Profil sertifikat yang tidak dibatasi tidak menambahkan batasan atau batas.

Root tidak dibatasi

Dapat diakses sebagai: root_unconstrained

Profil sertifikat berikut tidak memiliki penggunaan kunci yang diperpanjang atau batasan panjang jalur.

CA ini dapat menerbitkan semua jenis sertifikat, termasuk CA bawahan. Nilai ini sesuai untuk CA root yang ditandatangani sendiri, tetapi Anda juga dapat menggunakannya untuk CA subordinat yang tidak dibatasi.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinat tidak dibatasi dengan panjang jalur nol

Dapat diakses sebagai: subordinate_unconstrained_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang tidak memiliki batasan Extended Key Usage (EKU), tetapi memiliki batasan panjang jalur yang tidak mengizinkan penerbitan CA subordinat. Nilai ini sesuai untuk CA yang menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS bersama

Sertifikat Mutual Transport Layer Security (mTLS) dapat digunakan untuk autentikasi TLS server, TLS klien, atau TLS timbal balik.

mTLS subordinat

Dapat diakses sebagai: subordinate_mtls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk autentikasi TLS server, TLS klien, atau TLS bersama. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS entitas akhir

Dapat diakses sebagai: leaf_mtls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien, TLS server, atau mTLS. Misalnya, sertifikat SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS Klien

Sertifikat TLS klien digunakan untuk mengautentikasi klien.

TLS klien subordinat

Dapat diakses sebagai: subordinate_client_tls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS klien. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS klien entitas akhir

Dapat diakses sebagai: leaf_client_tls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien. Misalnya, klien mengautentikasi dirinya ke firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS Server

Sertifikat TLS server digunakan untuk mengautentikasi server.

TLS server subordinat

Dapat diakses sebagai: subordinate_server_tls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS server. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS server entitas akhir

Dapat diakses sebagai: leaf_server_tls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Penandatanganan kode

Tanda tangan digital digunakan untuk autentikasi kode.

Penandatanganan kode subordinat

Dapat diakses sebagai: subordinate_code_signing_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk penandatanganan kode. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA bawahan, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Penandatanganan kode entitas akhir

Dapat diakses sebagai: leaf_code_signing

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan penandatanganan kode.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME adalah protokol penandatanganan email yang membantu meningkatkan keamanan email.

S/MIME Subordinat

Dapat diakses sebagai: subordinate_smime_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk S/MIME. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME entitas akhir

Dapat diakses sebagai: leaf_smime

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan S/MIME. S/MIME sering digunakan untuk integritas atau enkripsi email menyeluruh.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Langkah selanjutnya