Esta página foi traduzida pela API Cloud Translation.

Perfis certificados

Este tópico fornece perfis de certificado que podem ser usados em vários cenários de emissão de certificados. É possível consultar esses perfis ao criar um certificado ou uma autoridade de certificação (CA) usando a CLI ou o console do Google Cloud.

Use as referências de gcloud especificadas neste documento e a sinalização --use-preset-profile para utilizar o perfil de certificado adequado às suas necessidades.

Sem restrições

Perfis de certificado ilimitados não acrescentam restrições ou limites.

Raiz sem restrições

Acessível como: root_unconstrained

O perfil de certificado a seguir não tem restrições de uso estendido de chave nem de tamanho de caminho.

Esta AC pode emitir qualquer tipo de certificado, inclusive CAs subordinadas. Esses valores são apropriados para uma CA raiz autoassinado, mas também é possível usá-los para uma CA subordinada sem restrições.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinar sem restrições com comprimento de caminho igual a zero

Acessível como: subordinate_unconstrained_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que não tenha restrições de uso estendido de chave (EKU, na sigla em inglês), mas tenha uma restrição de comprimento de caminho que não permita a emissão de ACs subordinadas. Esses valores são apropriados para ACs que emitem certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mútuo

Os certificados de segurança de camada de transporte mútuo (mTLS) podem ser usados para autenticação TLS do servidor, TLS do cliente ou TLS mútuo.

mTLS subordinado

Acessível como: subordinate_mtls_pathlen_0

Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidade final

Acessível como: leaf_mtls

Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente, o TLS do servidor ou o mTLS. Por exemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS do cliente

Os certificados TLS do cliente são usados para autenticar um cliente.

TLS do cliente subordinado

Acessível como: subordinate_client_tls_pathlen_0

Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para o TLS do cliente. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do cliente de entidade final

Acessível como: leaf_client_tls

Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente que faz a própria autenticação em um firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS do servidor

Os certificados TLS do servidor são usados para autenticar um servidor.

TLS do servidor subordinado

Acessível como: subordinate_server_tls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do servidor. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do servidor da entidade final

Acessível como: leaf_server_tls

Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Assinatura de código

As assinaturas digitais são usadas para fazer a autenticação por código.

Subordinar a assinatura de código

Acessível como: subordinate_code_signing_pathlen_0

Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para assinatura de código. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem funcionar para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Assinatura do código da entidade final

Acessível como: leaf_code_signing

É possível usar o perfil de certificado abaixo para configurar certificados de entidade final compatíveis com a assinatura de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

O S/MIME é um protocolo de assinatura de e-mail que ajuda a melhorar a segurança do e-mail.

S/MIME subordinado

Acessível como: subordinate_smime_pathlen_0

Você pode usar o perfil de certificado a seguir para configurar uma CA que possa emitir certificados de entidade final utilizáveis para S/MIME. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME da entidade final

Acessível como: leaf_smime

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com S/MIME. O S/MIME é usado com frequência para garantir a integridade ou a criptografia de e-mails de ponta a ponta.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

A seguir

Saiba mais sobre modelos de certificado.
Saiba mais sobre os controles de política.
Saiba mais sobre como usar uma política de emissão.