Perfis certificados
Este tópico fornece perfis de certificado que podem ser usados em vários cenários de emissão de certificados. É possível consultar esses perfis ao criar um certificado ou uma autoridade de certificação (CA) usando a CLI ou o console do Google Cloud.
Use as referências de gcloud
especificadas neste documento e a sinalização --use-preset-profile
para utilizar o perfil de certificado adequado às suas necessidades.
Sem restrições
Perfis de certificado ilimitados não acrescentam restrições ou limites.
Raiz sem restrições
Acessível como: root_unconstrained
O perfil de certificado a seguir não tem restrições de uso estendido de chave nem de tamanho de caminho.
Esta AC pode emitir qualquer tipo de certificado, inclusive CAs subordinadas. Esses valores são apropriados para uma CA raiz autoassinado, mas também é possível usá-los para uma CA subordinada sem restrições.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinar sem restrições com comprimento de caminho igual a zero
Acessível como: subordinate_unconstrained_pathlen_0
É possível usar o perfil de certificado a seguir para configurar uma AC que não tenha restrições de uso estendido de chave (EKU, na sigla em inglês), mas tenha uma restrição de comprimento de caminho que não permita a emissão de ACs subordinadas. Esses valores são apropriados para ACs que emitem certificados de entidade final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mútuo
Os certificados de segurança de camada de transporte mútuo (mTLS) podem ser usados para autenticação TLS do servidor, TLS do cliente ou TLS mútuo.
mTLS subordinado
Acessível como: subordinate_mtls_pathlen_0
Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS de entidade final
Acessível como: leaf_mtls
Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente, o TLS do servidor ou o mTLS. Por exemplo, certificados SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS do cliente
Os certificados TLS do cliente são usados para autenticar um cliente.
TLS do cliente subordinado
Acessível como: subordinate_client_tls_pathlen_0
Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para o TLS do cliente. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS do cliente de entidade final
Acessível como: leaf_client_tls
Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente que faz a própria autenticação em um firewall TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS do servidor
Os certificados TLS do servidor são usados para autenticar um servidor.
TLS do servidor subordinado
Acessível como: subordinate_server_tls_pathlen_0
É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do servidor. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS do servidor da entidade final
Acessível como: leaf_server_tls
Use o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do servidor.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Assinatura de código
As assinaturas digitais são usadas para fazer a autenticação por código.
Subordinar a assinatura de código
Acessível como: subordinate_code_signing_pathlen_0
Use o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para assinatura de código. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem funcionar para uma AC autoassinada que emite certificados de entidade final diretamente.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Assinatura do código da entidade final
Acessível como: leaf_code_signing
É possível usar o perfil de certificado abaixo para configurar certificados de entidade final compatíveis com a assinatura de código.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
O S/MIME é um protocolo de assinatura de e-mail que ajuda a melhorar a segurança do e-mail.
S/MIME subordinado
Acessível como: subordinate_smime_pathlen_0
Você pode usar o perfil de certificado a seguir para configurar uma CA que possa emitir certificados de entidade final utilizáveis para S/MIME. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são apropriados para uma AC subordinada, mas também podem ser usados para uma AC autoassinado que emite diretamente certificados de entidade final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME da entidade final
Acessível como: leaf_smime
Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com S/MIME. O S/MIME é usado com frequência para garantir a integridade ou a criptografia de e-mails de ponta a ponta.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
A seguir
- Saiba mais sobre modelos de certificado.
- Saiba mais sobre os controles de política.
- Saiba mais sobre como usar uma política de emissão.