인증서 프로필

이 주제에서는 다양한 인증서 발급 시나리오에 사용할 수 있는 인증서 프로필을 제공합니다. Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 인증서 또는 인증 기관(CA)을 만들 때 이러한 인증서 프로필을 참조할 수 있습니다.

이 문서에 지정된 gcloud 참조를 --use-preset-profile 플래그와 함께 사용하여 필요에 맞는 인증서 프로필을 활용합니다.

제약 없음

제약 없음 인증서 프로필은 제약조건 또는 한도를 추가하지 않습니다.

루트 제약 없음

다음으로 액세스 가능: root_unconstrained

다음 인증서 프로필에는 확장 키 사용 또는 경로 길이 제약조건이 없습니다.

이 CA는 하위 CA를 포함한 모든 유형의 인증서를 발급할 수 있습니다. 이러한 값은 자체 서명 루트 CA에 적합하지만 제약 없음 하위 CA에 사용할 수도 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

경로 길이가 0인 하위 제약 없음

다음으로 액세스 가능: subordinate_unconstrained_pathlen_0

다음 인증서 프로필을 사용하여 확장 키 사용(EKU) 제약조건이 없지만 하위 CA를 발급할 수 없는 경로 길이 제한이 있는 CA를 구성할 수 있습니다. 이 값은 종단 개체 인증서를 발급하는 CA에 적합합니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

상호 TLS

상호 전송 계층 보안(mTLS) 인증서는 서버 TLS, 클라이언트 TLS 또는 상호 TLS 인증에 사용할 수 있습니다.

하위 mTLS

다음으로 액세스 가능: subordinate_mtls_pathlen_0

다음 인증서 프로필을 사용하여 서버 TLS, 클라이언트 TLS 또는 상호 TLS 인증에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

종단 개체 mTLS

다음으로 액세스 가능: leaf_mtls

다음 인증서 프로필을 사용하여 클라이언트 TLS, 서버 TLS 또는 mTLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다. 예를 들어 SPIFFE 인증서가 있습니다.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

클라이언트 TLS

클라이언트 TLS 인증서는 클라이언트를 인증하는 데 사용됩니다.

하위 클라이언트 TLS

다음으로 액세스 가능: subordinate_client_tls_pathlen_0

다음 인증서 프로필을 사용하여 클라이언트 TLS에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

종단 개체 클라이언트 TLS

다음으로 액세스 가능: leaf_client_tls

다음 인증서 프로필을 사용하여 클라이언트 TLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다. 예를 들어 클라이언트가 TLS 방화벽에 자체적으로 인증합니다.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

서버 TLS

서버 TLS 인증서는 서버를 인증하는 데 사용됩니다.

하위 서버 TLS

다음으로 액세스 가능: subordinate_server_tls_pathlen_0

다음 인증서 프로필을 사용하여 서버 TLS에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

종단 개체 서버 TLS

다음으로 액세스 가능: leaf_server_tls

다음 인증서 프로필을 사용하여 서버 TLS와 호환되는 종단 개체 인증서를 구성할 수 있습니다.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

코드 서명

디지털 서명은 코드 인증에 사용됩니다.

하위 코드 서명

다음으로 액세스 가능: subordinate_code_signing_pathlen_0

다음 인증서 프로필을 사용하여 코드 서명에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

종단 개체 코드 서명

다음으로 액세스 가능: leaf_code_signing

다음 인증서 프로필을 사용하여 코드 서명과 호환되는 종단 개체 인증서를 구성할 수 있습니다.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME는 이메일 보안 개선에 도움이 되는 이메일 서명 프로토콜입니다.

하위 S/MIME

다음으로 액세스 가능: subordinate_smime_pathlen_0

다음 인증서 프로필을 사용하여 S/MIME에 사용 가능한 종단 개체 인증서를 발급할 수 있는 CA를 구성할 수 있습니다. 이 인증서 프로필에는 추가 하위 CA를 허용하지 않는 경로 길이 제한이 있습니다. 이러한 값은 하위 CA에 적합하지만 종단 개체 인증서를 직접 발급하는 자체 서명 CA에도 사용할 수 있습니다.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

종단 개체 S/MIME

다음으로 액세스 가능: leaf_smime

다음 인증서 프로필을 사용하여 S/MIME와 호환되는 종단 개체 인증서를 구성할 수 있습니다. S/MIME는 종종 엔드 투 엔드 이메일 무결성 또는 암호화를 위해 사용됩니다.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

다음 단계