Profil sertifikat
Topik ini menyediakan profil sertifikat yang dapat Anda gunakan untuk berbagai skenario penerbitan sertifikat. Anda dapat mereferensikan profil sertifikat ini saat membuat sertifikat atau otoritas sertifikasi (CA) menggunakan Google Cloud CLI atau Konsol Google Cloud.
Gunakan referensi gcloud
yang ditentukan dalam dokumen ini bersama dengan tanda --use-preset-profile
untuk menggunakan profil sertifikat yang sesuai dengan kebutuhan Anda.
Tidak dibatasi
Profil sertifikat yang tidak dibatasi tidak menambahkan batasan atau batas.
Root tidak dibatasi
Dapat diakses sebagai: root_unconstrained
Profil sertifikat berikut tidak memiliki penggunaan kunci yang diperpanjang atau batasan panjang jalur.
CA ini dapat menerbitkan semua jenis sertifikat, termasuk CA bawahan. Nilai ini sesuai untuk CA root yang ditandatangani sendiri, tetapi Anda juga dapat menggunakannya untuk CA subordinat yang tidak dibatasi.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinat tidak dibatasi dengan panjang jalur nol
Dapat diakses sebagai: subordinate_unconstrained_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang tidak memiliki batasan Extended Key Usage (EKU), tetapi memiliki batasan panjang jalur yang tidak mengizinkan penerbitan CA subordinat. Nilai ini sesuai untuk CA yang menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS bersama
Sertifikat Mutual Transport Layer Security (mTLS) dapat digunakan untuk autentikasi TLS server, TLS klien, atau TLS timbal balik.
mTLS subordinat
Dapat diakses sebagai: subordinate_mtls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk autentikasi TLS server, TLS klien, atau TLS bersama. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS entitas akhir
Dapat diakses sebagai: leaf_mtls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien, TLS server, atau mTLS. Misalnya, sertifikat SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS Klien
Sertifikat TLS klien digunakan untuk mengautentikasi klien.
TLS klien subordinat
Dapat diakses sebagai: subordinate_client_tls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS klien. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS klien entitas akhir
Dapat diakses sebagai: leaf_client_tls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien. Misalnya, klien mengautentikasi dirinya ke firewall TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS Server
Sertifikat TLS server digunakan untuk mengautentikasi server.
TLS server subordinat
Dapat diakses sebagai: subordinate_server_tls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS server. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS server entitas akhir
Dapat diakses sebagai: leaf_server_tls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS server.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Penandatanganan kode
Tanda tangan digital digunakan untuk autentikasi kode.
Penandatanganan kode subordinat
Dapat diakses sebagai: subordinate_code_signing_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk penandatanganan kode. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA bawahan, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Penandatanganan kode entitas akhir
Dapat diakses sebagai: leaf_code_signing
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan penandatanganan kode.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME adalah protokol penandatanganan email yang membantu meningkatkan keamanan email.
S/MIME Subordinat
Dapat diakses sebagai: subordinate_smime_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk S/MIME. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinat, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME entitas akhir
Dapat diakses sebagai: leaf_smime
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan S/MIME. S/MIME sering digunakan untuk integritas atau enkripsi email menyeluruh.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Langkah selanjutnya
- Pelajari template sertifikat lebih lanjut.
- Pelajari kontrol kebijakan lebih lanjut.
- Pelajari lebih lanjut cara menggunakan kebijakan penerbitan.