Profil sertifikat
Topik ini menyediakan profil sertifikat yang dapat Anda gunakan untuk berbagai skenario penerbitan sertifikat. Anda dapat merujuk profil sertifikat ini saat membuat sertifikat atau certificate authority (CA) menggunakan Google Cloud CLI atau konsol Google Cloud.
Gunakan referensi gcloud
yang ditentukan dalam dokumen ini bersama tanda --use-preset-profile
untuk menggunakan profil sertifikat yang sesuai dengan kebutuhan Anda.
Tidak dibatasi
Profil sertifikat yang tidak dibatasi tidak menambahkan batasan atau batas.
Root tidak dibatasi
Dapat diakses sebagai: root_unconstrained
Profil sertifikat berikut tidak memiliki batasan penggunaan kunci tambahan ataupun batasan panjang jalur.
CA ini dapat menerbitkan semua jenis sertifikat, termasuk CA subordinat. Nilai ini sesuai untuk root CA yang ditandatangani sendiri, tetapi Anda juga dapat menggunakannya untuk CA subordinate yang tidak dibatasi.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinat tidak dibatasi dengan panjang jalur nol
Dapat diakses sebagai: subordinate_unconstrained_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang tidak memiliki batasan Extended Key Usage (EKU), tetapi memiliki batasan panjang jalur yang tidak mengizinkan penerbitan CA subordinat. Nilai ini sesuai untuk CA yang menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS bersama
Sertifikat Mutual Transport Layer Security (mTLS) dapat digunakan untuk autentikasi server TLS, TLS klien, atau TLS bersama.
mTLS bawahan
Dapat diakses sebagai: subordinate_mtls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk server TLS, TLS klien, atau autentikasi TLS bersama. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS entitas akhir
Dapat diakses sebagai: leaf_mtls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien, TLS server, atau mTLS. Misalnya, sertifikat SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS Klien
Sertifikat TLS klien digunakan untuk mengautentikasi klien.
TLS klien subordinat
Dapat diakses sebagai: subordinate_client_tls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS klien. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS klien entity akhir
Dapat diakses sebagai: leaf_client_tls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien. Misalnya, klien mengautentikasi dirinya sendiri ke firewall TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS Server
Sertifikat TLS server digunakan untuk mengautentikasi server.
TLS server bawahan
Dapat diakses sebagai: subordinate_server_tls_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS server. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS server entitas akhir
Dapat diakses sebagai: leaf_server_tls
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS server.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Penandatanganan kode
Tanda tangan digital digunakan untuk otentikasi kode.
Penandatanganan kode bawahan
Dapat diakses sebagai: subordinate_code_signing_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk penandatanganan kode. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat berfungsi untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Penandatanganan kode entity akhir
Dapat diakses sebagai: leaf_code_signing
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan penandatanganan kode.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME adalah protokol penandatanganan email yang membantu meningkatkan keamanan email.
S/MIME subordinat
Dapat diakses sebagai: subordinate_smime_pathlen_0
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk S/MIME. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME entitas akhir
Dapat diakses sebagai: leaf_smime
Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan S/MIME. S/MIME sering digunakan untuk enkripsi atau integritas email menyeluruh.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Langkah selanjutnya
- Pelajari template sertifikat lebih lanjut.
- Pelajari kontrol kebijakan lebih lanjut.
- Pelajari lebih lanjut cara menggunakan kebijakan penerbitan.