证书配置文件

本主题提供了可用于各种证书颁发场景的证书配置文件。使用 Google Cloud CLI 或 Google Cloud 控制台创建证书或证书授权机构 (CA) 时,您可以引用这些证书配置文件。

使用本文档中指定的 gcloud 参考文档以及 --use-preset-profile 标志,以便使用符合您需求的证书配置文件。

不受约束

不受限制的证书配置文件不会施加任何限制。

根未受约束

可通过以下方式访问root_unconstrained

以下证书配置文件既没有扩展密钥用途,也没有路径长度限制。

此 CA 可以颁发任何类型的证书,包括从属 CA。这些值适用于自签名根 CA,但您也可以将其用于不受约束的从属 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

子级无约束,路径长度为零

可访问账号subordinate_unconstrained_pathlen_0

您可以使用以下证书配置文件配置一个没有扩展密钥用途 (EKU) 约束条件,但具有路径长度限制的 CA,该限制不允许颁发任何从属 CA。这些值适用于颁发最终实体证书的 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

双向 TLS

双向传输层安全协议 (mTLS) 证书可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证。

从属 mTLS

可访问账号subordinate_mtls_pathlen_0

您可以使用以下证书配置文件来配置可颁发可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证的最终实体证书的 CA。此证书配置文件存在路径长度限制,不允许有其他子级 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

最终实体 mTLS

可通过以下方式访问leaf_mtls

您可以使用以下证书配置文件配置与客户端 TLS、服务器 TLS 或 mTLS 兼容的最终实体证书。例如 SPIFFE 证书。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

客户端 TLS

客户端 TLS 证书用于对客户端进行身份验证。

从属客户端 TLS

可访问账号subordinate_client_tls_pathlen_0

您可以使用以下证书配置文件来配置可颁发可用于客户端 TLS 的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可以用于直接颁发最终实体证书的自签名 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

端实体客户端 TLS

可访问账号leaf_client_tls

您可以使用以下证书配置文件配置与客户端 TLS 兼容的端实体证书。例如,客户端向 TLS 防火墙进行身份验证。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

服务器 TLS

服务器 TLS 证书用于对服务器进行身份验证。

从属服务器 TLS

可通过以下方式访问subordinate_server_tls_pathlen_0

您可以使用以下证书配置文件来配置可颁发可用于服务器 TLS 的最终实体证书的 CA。此证书配置文件存在路径长度限制,不允许有其他子级 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

最终实体服务器 TLS

可通过以下方式访问leaf_server_tls

您可以使用以下证书配置文件配置与服务器 TLS 兼容的最终实体证书。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

代码签名

数字签名用于代码身份验证。

子级代码签名

可通过以下方式访问subordinate_code_signing_pathlen_0

您可以使用以下证书配置文件配置可颁发可用于代码签名的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也适用于直接颁发最终实体证书的自签名 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

最终实体代码签名

可通过以下方式访问leaf_code_signing

您可以使用以下证书配置文件配置与代码签名兼容的最终实体证书。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME 是一种电子邮件签名协议,有助于提高电子邮件的安全性。

从属 S/MIME

可通过以下方式访问subordinate_smime_pathlen_0

您可以使用以下证书配置文件配置可颁发可用于 S/MIME 的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

最终实体 S/MIME

可访问账号leaf_smime

您可以使用以下证书配置文件配置与 S/MIME 兼容的最终实体证书。S/MIME 通常用于端到端电子邮件完整性或加密。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

后续步骤