Profil sertifikat

Topik ini menyediakan profil sertifikat yang dapat Anda gunakan untuk berbagai skenario penerbitan sertifikat. Anda dapat merujuk profil sertifikat ini saat membuat sertifikat atau certificate authority (CA) menggunakan Google Cloud CLI atau konsol Google Cloud.

Gunakan referensi gcloud yang ditentukan dalam dokumen ini bersama tanda --use-preset-profile untuk menggunakan profil sertifikat yang sesuai dengan kebutuhan Anda.

Tidak dibatasi

Profil sertifikat yang tidak dibatasi tidak menambahkan batasan atau batas.

Root tidak dibatasi

Dapat diakses sebagai: root_unconstrained

Profil sertifikat berikut tidak memiliki batasan penggunaan kunci tambahan ataupun batasan panjang jalur.

CA ini dapat menerbitkan semua jenis sertifikat, termasuk CA subordinat. Nilai ini sesuai untuk root CA yang ditandatangani sendiri, tetapi Anda juga dapat menggunakannya untuk CA subordinate yang tidak dibatasi.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinat tidak dibatasi dengan panjang jalur nol

Dapat diakses sebagai: subordinate_unconstrained_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang tidak memiliki batasan Extended Key Usage (EKU), tetapi memiliki batasan panjang jalur yang tidak mengizinkan penerbitan CA subordinat. Nilai ini sesuai untuk CA yang menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS bersama

Sertifikat Mutual Transport Layer Security (mTLS) dapat digunakan untuk autentikasi server TLS, TLS klien, atau TLS bersama.

mTLS bawahan

Dapat diakses sebagai: subordinate_mtls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk server TLS, TLS klien, atau autentikasi TLS bersama. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS entitas akhir

Dapat diakses sebagai: leaf_mtls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien, TLS server, atau mTLS. Misalnya, sertifikat SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS Klien

Sertifikat TLS klien digunakan untuk mengautentikasi klien.

TLS klien subordinat

Dapat diakses sebagai: subordinate_client_tls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS klien. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS klien entity akhir

Dapat diakses sebagai: leaf_client_tls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS klien. Misalnya, klien mengautentikasi dirinya sendiri ke firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS Server

Sertifikat TLS server digunakan untuk mengautentikasi server.

TLS server bawahan

Dapat diakses sebagai: subordinate_server_tls_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk TLS server. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS server entitas akhir

Dapat diakses sebagai: leaf_server_tls

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan TLS server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Penandatanganan kode

Tanda tangan digital digunakan untuk otentikasi kode.

Penandatanganan kode bawahan

Dapat diakses sebagai: subordinate_code_signing_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk penandatanganan kode. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat berfungsi untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Penandatanganan kode entity akhir

Dapat diakses sebagai: leaf_code_signing

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan penandatanganan kode.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME adalah protokol penandatanganan email yang membantu meningkatkan keamanan email.

S/MIME subordinat

Dapat diakses sebagai: subordinate_smime_pathlen_0

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi CA yang dapat menerbitkan sertifikat entitas akhir yang dapat digunakan untuk S/MIME. Profil sertifikat ini memiliki batasan panjang jalur yang tidak mengizinkan CA subordinat lebih lanjut. Nilai ini sesuai untuk CA subordinate, tetapi juga dapat digunakan untuk CA yang ditandatangani sendiri yang secara langsung menerbitkan sertifikat entitas akhir.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME entitas akhir

Dapat diakses sebagai: leaf_smime

Anda dapat menggunakan profil sertifikat berikut untuk mengonfigurasi sertifikat entitas akhir yang kompatibel dengan S/MIME. S/MIME sering digunakan untuk enkripsi atau integritas email menyeluruh.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Langkah selanjutnya

• Pelajari template sertifikat lebih lanjut.
• Pelajari kontrol kebijakan lebih lanjut.
• Pelajari lebih lanjut cara menggunakan kebijakan penerbitan.