Esta página foi traduzida pela API Cloud Translation.

Perfis certificados

Este tópico apresenta perfis de certificado que podem ser usados em vários cenários de emissão de certificados. É possível fazer referência a esses perfis ao criar um certificado ou uma autoridade certificadora (AC) usando a CLI ou o console do Google Cloud.

Use as referências gcloud especificadas neste documento com a flag --use-preset-profile para usar o perfil de certificado que se adapta às suas necessidades.

Sem restrições

Os perfis de certificado sem restrições não adicionam restrições ou limites.

Raiz sem restrições

Acessível como: root_unconstrained

O perfil de certificado a seguir não tem uso de chave estendido nem restrições de comprimento de caminho.

Essa AC pode emitir qualquer tipo de certificado, incluindo ACs subordinadas. Esses valores são adequados para uma AC raiz autoassinada, mas também podem ser usados para uma AC subordinada sem restrições.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinar sem restrições com comprimento de caminho igual a zero

Acessível como: subordinate_unconstrained_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que não tenha restrições de uso estendido de chave (EKU, na sigla em inglês), mas tenha uma restrição de comprimento de caminho que não permita a emissão de ACs subordinadas. Esses valores são adequados para ACs que emitem certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mútuo

Os certificados de segurança de camada de transporte mútuo (mTLS) podem ser usados para autenticação TLS do servidor, TLS do cliente ou TLS mútuo.

mTLS subordinado

Acessível como: subordinate_mtls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidade final

Acessível como: leaf_mtls

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com TLS de cliente, TLS de servidor ou mTLS. Por exemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS do cliente

Os certificados TLS do cliente são usados para autenticar um cliente.

TLS do cliente subordinado

Acessível como: subordinate_client_tls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do cliente. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do cliente de entidade final

Acessível como: leaf_client_tls

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente se autenticando em um firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS do servidor

Os certificados TLS do servidor são usados para autenticar um servidor.

TLS do servidor subordinado

Acessível como: subordinate_server_tls_pathlen_0

É possível usar o perfil de certificado abaixo para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do servidor. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do servidor de entidade final

Acessível como: leaf_server_tls

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Assinatura de código

As assinaturas digitais são usadas para autenticação de código.

Assinatura de código subordinada

Acessível como: subordinate_code_signing_pathlen_0

É possível usar o perfil de certificado abaixo para configurar uma AC que possa emitir certificados de entidade final utilizáveis para assinatura de código. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem funcionar para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Assinatura de código da entidade final

Acessível como: leaf_code_signing

É possível usar o perfil de certificado abaixo para configurar certificados de entidade final compatíveis com a assinatura de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

O S/MIME é um protocolo de assinatura de e-mail que ajuda a melhorar a segurança dos e-mails.

S/MIME subordinado

Acessível como: subordinate_smime_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que possa emitir certificados de entidade final utilizáveis para S/MIME. Esse perfil de certificado tem uma restrição de comprimento de caminho que não permite outras ACs subordinadas. Esses valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite certificados de entidade final diretamente.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidade final

Acessível como: leaf_smime

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o S/MIME. O S/MIME é usado com frequência para integridade ou criptografia de ponta a ponta do e-mail.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

A seguir

Saiba mais sobre modelos de certificados.
Saiba mais sobre os controles de políticas.
Saiba mais sobre como usar uma política de emissão.