인증서 프로필
이 주제에서는 다양한 인증서 발급 시나리오에 사용할 수 있는 인증서 프로필을 제공합니다. Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 인증서 또는 인증 기관(CA)을 만들 때 이러한 인증서 프로필을 참조할 수 있습니다.
이 문서에 지정된 gcloud 참조를 --use-preset-profile 플래그와 함께 사용하여 필요에 맞는 인증서 프로필을 활용합니다.
제약 없음
제약 없음 인증서 프로필은 제약조건 또는 한도를 추가하지 않습니다.
루트 제약 없음
다음으로 액세스 가능: root_unconstrained
다음 인증서 프로필에는 확장 키 사용 또는 경로 길이 제약조건이 없습니다.
이 CA는 하위 CA를 포함한 모든 유형의 인증서를 발급할 수 있습니다. 이러한 값은 자체 서명 루트 CA에 적합하지만 제약 없음 하위 CA에 사용할 수도 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
경로 길이가 0인 하위 제약 없음
다음으로 액세스 가능: subordinate_unconstrained_pathlen_0
다음 인증서 프로필을 사용하여 확장 키 사용(EKU) 제약조건이 없지만 하위 CA를 발급할 수 없는 경로 길이 제한이 있는 CA를 구성할 수 있습니다. 이 값은 종단 개체 인증서를 발급하는 CA에 적합합니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
상호 TLS
상호 전송 계층 보안(mTLS) 인증서는 서버 TLS, 클라이언트 TLS 또는 상호 TLS 인증에 사용할 수 있습니다.
하위 mTLS
다음으로 액세스 가능: subordinate_mtls_pathlen_0
다음 인증서 프로필을 사용하여 서버 TLS, 클라이언트 TLS 또는 상호 TLS 인증에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
종단 개체 mTLS
다음으로 액세스 가능: leaf_mtls
다음 인증서 프로필을 사용하여 클라이언트 TLS, 서버 TLS 또는 mTLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다. 예를 들어 SPIFFE 인증서가 있습니다.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
클라이언트 TLS
클라이언트 TLS 인증서는 클라이언트를 인증하는 데 사용됩니다.
하위 클라이언트 TLS
다음으로 액세스 가능: subordinate_client_tls_pathlen_0
다음 인증서 프로필을 사용하여 클라이언트 TLS에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
종단 개체 클라이언트 TLS
다음으로 액세스 가능: leaf_client_tls
다음 인증서 프로필을 사용하여 클라이언트 TLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다. 예를 들어 클라이언트가 TLS 방화벽에 자체적으로 인증합니다.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
서버 TLS
서버 TLS 인증서는 서버를 인증하는 데 사용됩니다.
하위 서버 TLS
다음으로 액세스 가능: subordinate_server_tls_pathlen_0
다음 인증서 프로필을 사용하여 서버 TLS에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
종단 개체 서버 TLS
다음으로 액세스 가능: leaf_server_tls
다음 인증서 프로필을 사용하여 서버 TLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
코드 서명
디지털 서명은 코드 인증에 사용됩니다.
하위 코드 서명
다음으로 액세스 가능: subordinate_code_signing_pathlen_0
다음 인증서 프로필을 사용하여 코드 서명에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
종단 개체 코드 서명
다음으로 액세스 가능: leaf_code_signing
다음 인증서 프로필을 사용하여 코드 서명과 호환되는 종단 개체 인증서를 구성할 수 있습니다.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME는 이메일 보안 개선에 도움이 되는 이메일 서명 프로토콜입니다.
하위 S/MIME
다음으로 액세스 가능: subordinate_smime_pathlen_0
다음 인증서 프로필을 사용하여 S/MIME에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
종단 개체 S/MIME
다음으로 액세스 가능: leaf_smime
다음 인증서 프로필을 사용하여 S/MIME와 호환되는 종단 개체 인증서를 구성할 수 있습니다. S/MIME는 종종 엔드 투 엔드 이메일 무결성 또는 암호화를 위해 사용됩니다.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false