Esta página foi traduzida pela API Cloud Translation.

Perfis certificados

Este tópico fornece perfis de certificado que podem ser usados em vários cenários de emissão de certificados. É possível consultar esses perfis ao criar um certificado ou uma autoridade de certificação (CA) usando a CLI ou o console do Google Cloud.

Use as referências gcloud especificadas neste documento com a flag --use-preset-profile para usar o perfil de certificado que se adapta às suas necessidades.

Sem restrições

Perfis de certificado irrestritos não adicionam restrições ou limites.

Raiz sem restrições

Acessível como: root_unconstrained

O perfil de certificado a seguir não tem uso de chave estendido nem restrições de comprimento de caminho.

Esta AC pode emitir qualquer tipo de certificado, inclusive CAs subordinadas. Esses valores são apropriados para uma CA raiz autoassinado, mas você também pode usá-los para uma CA subordinada sem restrições.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinar sem restrições com comprimento de caminho igual a zero

Acessível como: subordinate_unconstrained_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma CA que não tenha restrições de uso estendido de chave (EKU, na sigla em inglês), mas que tenha uma restrição de tamanho de caminho que não permite a emissão de CAs subordinadas. Esses valores são adequados para ACs que emitem certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mútuo

Os certificados de segurança de camada de transporte mútuo (mTLS) podem ser usados para autenticação TLS do servidor, TLS do cliente ou TLS mútuo.

mTLS subordinado

Acessível como: subordinate_mtls_pathlen_0

Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidade final

Acessível como: leaf_mtls

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com TLS de cliente, TLS de servidor ou mTLS. Por exemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS do cliente

Os certificados TLS do cliente são usados para autenticar um cliente.

TLS do cliente subordinado

Acessível como: subordinate_client_tls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do cliente. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do cliente de entidade final

Acessível como: leaf_client_tls

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente que faz a própria autenticação em um firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS do servidor

Os certificados TLS do servidor são usados para autenticar um servidor.

TLS do servidor subordinado

Acessível como: subordinate_server_tls_pathlen_0

Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para o TLS do servidor. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do servidor da entidade final

Acessível como: leaf_server_tls

Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Assinatura de código

As assinaturas digitais são usadas para autenticação de código.

Subordinar a assinatura de código

Acessível como: subordinate_code_signing_pathlen_0

É possível usar o perfil de certificado abaixo para configurar uma AC que possa emitir certificados de entidade final utilizáveis para assinatura de código. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem funcionar para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Assinatura do código da entidade final

Acessível como: leaf_code_signing

É possível usar o perfil de certificado abaixo para configurar certificados de entidade final compatíveis com a assinatura de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

O S/MIME é um protocolo de assinatura de e-mail que ajuda a melhorar a segurança dos e-mails.

S/MIME subordinado

Acessível como: subordinate_smime_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para S/MIME. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidade final

Acessível como: leaf_smime

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o S/MIME. O S/MIME é usado com frequência para garantir a integridade ou a criptografia de e-mails de ponta a ponta.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

A seguir

Saiba mais sobre modelos de certificado.
Saiba mais sobre os controles de política.
Saiba mais sobre como usar uma política de emissão.