证书配置文件
本主题提供了可用于各种证书颁发场景的证书配置文件。使用 Google Cloud CLI 或 Google Cloud 控制台创建证书或证书授权机构 (CA) 时,您可以引用这些证书配置文件。
请结合使用本文档中指定的 gcloud 参考文档和 --use-preset-profile 标志,以利用符合您需求的证书配置文件。
不受约束
不受限制的证书配置文件不会施加任何限制。
根不受约束
可访问账号:root_unconstrained
以下证书配置文件既没有扩展密钥用途,也没有路径长度限制。
此 CA 可以颁发任何类型的证书,包括从属 CA。这些值适用于自签名根 CA,但您也可以将其用于不受限制的从 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
从属节点不受限制,路径长度为零
可访问账号:subordinate_unconstrained_pathlen_0
您可以使用以下证书配置文件配置一个没有扩展密钥用途 (EKU) 约束条件,但具有路径长度限制的 CA,该限制不允许颁发任何从属 CA。这些值适用于颁发最终实体证书的 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
双向 TLS
双向传输层安全协议 (mTLS) 证书可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证。
从属 mTLS
可访问账号:subordinate_mtls_pathlen_0
您可以使用以下证书配置文件来配置可颁发可用于服务器 TLS、客户端 TLS 或双向 TLS 身份验证的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体 mTLS
可访问账号:leaf_mtls
您可以使用以下证书配置文件配置与客户端 TLS、服务器 TLS 或 mTLS 兼容的最终实体证书。例如 SPIFFE 证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
客户端 TLS
客户端 TLS 证书用于对客户端进行身份验证。
从属客户端 TLS
可访问账号:subordinate_client_tls_pathlen_0
您可以使用以下证书配置文件来配置可颁发可用于客户端 TLS 的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可以用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体客户端 TLS
可访问账号:leaf_client_tls
您可以使用以下证书配置文件配置与客户端 TLS 兼容的端实体证书。例如,客户端向 TLS 防火墙进行身份验证。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
服务器 TLS
服务器 TLS 证书用于对服务器进行身份验证。
从属服务器 TLS
可访问账号:subordinate_server_tls_pathlen_0
您可以使用以下证书配置文件来配置可颁发可用于服务器 TLS 的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体服务器 TLS
可访问账号:leaf_server_tls
您可以使用以下证书配置文件配置与服务器 TLS 兼容的最终实体证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
代码签名
数字签名用于代码身份验证。
从属代码签名
可访问账号:subordinate_code_signing_pathlen_0
您可以使用以下证书配置文件来配置可颁发可用于代码签名的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也适用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
最终实体代码签名
可访问账号:leaf_code_signing
您可以使用以下证书配置文件配置与代码签名兼容的最终实体证书。
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME 是一种电子邮件签名协议,有助于提高电子邮件的安全性。
从属 S/MIME
可通过以下方式访问:subordinate_smime_pathlen_0
您可以使用以下证书配置文件来配置可颁发可用于 S/MIME 的最终实体证书的 CA。此证书配置文件具有路径长度限制,不允许进一步从属 CA。这些值适用于从属 CA,但也可以用于直接颁发最终实体证书的自签名 CA。
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
端实体 S/MIME
可访问账号:leaf_smime
您可以使用以下证书配置文件配置与 S/MIME 兼容的最终实体证书。S/MIME 通常用于端到端电子邮件完整性或加密。
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false