Profili dei certificati

Questo argomento fornisce profili dei certificati che puoi utilizzare per vari scenari di emissione dei certificati. Puoi fare riferimento a questi profili di certificato durante la creazione di un certificato o di un'autorità di certificazione (CA) utilizzando Google Cloud CLI o la console Google Cloud.

Utilizza i riferimenti gcloud specificati in questo documento insieme al flag --use-preset-profile per utilizzare il profilo di certificato più adatto alle tue esigenze.

Senza vincoli

I profili dei certificati senza vincoli non aggiungono vincoli o limiti.

Radice senza vincoli

Accessibile come: root_unconstrained

Il seguente profilo certificato non ha vincoli di utilizzo esteso della chiave o di lunghezza del percorso.

Questa CA può emettere qualsiasi tipo di certificato, incluse le CA subordinate. Questi valori sono appropriati per una CA radice autofirmata, ma puoi anche utilizzarli per una CA subordinata senza vincoli.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinato senza vincoli con lunghezza del percorso pari a zero

Accessibile come: subordinate_unconstrained_pathlen_0

Puoi usare il profilo di certificato seguente per configurare una CA che non abbia vincoli EKU (Extended Key Usage), ma abbia una limitazione della lunghezza del percorso che non consente l'emissione di CA subordinate. Questi valori sono appropriati per le CA che emettono certificati di entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Mutual TLS

I certificati mTLS (mutual Transport Layer Security) possono essere utilizzati per l'autenticazione TLS del server, TLS client o TLS reciproca.

mTLS subordinato

Accessibile come: subordinate_mtls_pathlen_0

Puoi utilizzare il profilo certificato riportato di seguito per configurare una CA in grado di emettere certificati dell'entità finale utilizzabili per TLS del server, TLS client o autenticazione TLS reciproca (mTLS). Questo profilo certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS dell'entità finale

Accessibile come: leaf_mtls

Puoi utilizzare il seguente profilo di certificato per configurare i certificati dell'entità finale compatibili con TLS del client, TLS del server o mTLS. Ad esempio, i certificati SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS client

I certificati TLS client vengono utilizzati per autenticare un client.

TLS client subordinato

Accessibile come: subordinate_client_tls_pathlen_0

Puoi utilizzare il profilo di certificato riportato di seguito per configurare una CA in grado di emettere certificati dell'entità finale utilizzabili per il protocollo TLS del client. Questo profilo certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS client dell'entità finale

Accessibile come: leaf_client_tls

Puoi utilizzare il profilo certificato seguente per configurare i certificati dell'entità finale compatibili con TLS client. Ad esempio, un client che esegue l'autenticazione su un firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS server

I certificati TLS del server vengono utilizzati per autenticare un server.

TLS server subordinato

Accessibile come: subordinate_server_tls_pathlen_0

Puoi utilizzare il seguente profilo di certificato per configurare una CA in grado di emettere certificati dell'entità finale utilizzabili per TLS del server. Questo profilo certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS server dell'entità finale

Accessibile come: leaf_server_tls

Puoi utilizzare il profilo certificato riportato di seguito per configurare i certificati delle entità finali compatibili con TLS del server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma del codice

Le firme digitali vengono utilizzate per l'autenticazione del codice.

Firma del codice subordinata

Accessibile come: subordinate_code_signing_pathlen_0

Puoi utilizzare il profilo di certificato riportato di seguito per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per la firma del codice. Questo profilo certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono funzionare anche per una CA autofirmata che emette direttamente certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma del codice dell'entità finale

Accessibile come: leaf_code_signing

Puoi utilizzare il profilo certificato seguente per configurare i certificati dell'entità finale compatibili con la firma del codice.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME è un protocollo di firma delle email che aiuta a migliorare la sicurezza delle email.

S/MIME subordinato

Accessibile come: subordinate_smime_pathlen_0

Puoi utilizzare il profilo di certificato riportato di seguito per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per S/MIME. Questo profilo certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME dell'entità finale

Accessibile come: leaf_smime

Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con S/MIME. S/MIME viene spesso utilizzato per l'integrità o la crittografia end-to-end delle email.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Passaggi successivi

• Scopri di più sui modelli di certificato.
• Scopri di più sui controlli dei criteri.
• Scopri di più sull'utilizzo delle norme di emissione.