Profils de certificat
Cette rubrique fournit des profils de certificat que vous pouvez utiliser pour divers scénarios d'émission de certificats. Vous pouvez référencer ces profils de certificat lorsque vous créez un certificat ou une autorité de certification à l'aide de la Google Cloud CLI ou de la console Google Cloud.
Utilisez les références gcloud spécifiées dans ce document ainsi que l'indicateur --use-preset-profile pour utiliser le profil de certificat qui correspond à vos besoins.
Sans contrainte
Les profils de certificat sans contrainte n'ajoutent aucune contrainte ou limite.
Racine sans contrainte
Accessible en tant que: root_unconstrained
Le profil de certificat suivant ne comporte ni utilisation étendue de clé ni contraintes de longueur de chemin d'accès.
Cette autorité de certification peut émettre n'importe quel type de certificat, y compris les autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification racine autosignée, mais vous pouvez également les utiliser pour une autorité de certification subordonnée sans contrainte.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordonnée sans contrainte avec une longueur de tracé égale à zéro
Accessible en tant que: subordinate_unconstrained_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification qui ne comporte aucune contrainte d'utilisation étendue des clés (EKU), mais qui présente une restriction de longueur de chemin d'accès qui n'autorise pas l'émission d'autorités de certification subordonnées. Ces valeurs sont appropriées pour les autorités de certification qui émettent des certificats d'entité de fin.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mutuel
Les certificats TLS mutuels (mTLS) peuvent être utilisés pour l'authentification TLS du serveur, du client ou TLS mutuel.
mTLS subordonné
Accessible en tant que: subordinate_mtls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour l'authentification TLS du serveur, TLS du client ou TLS mutuel. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS de l'entité de fin
Accessible en tant que : leaf_mtls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec les protocoles TLS du client, TLS du serveur ou mTLS. Par exemple, les certificats SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS du client
Les certificats TLS client permettent d'authentifier un client.
TLS du client subordonné
Accessible en tant que: subordinate_client_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour le TLS client. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du client d'entité de fin
Accessible en tant que : leaf_client_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité de fin compatibles avec le protocole TLS du client. Par exemple, un client qui s'authentifie auprès d'un pare-feu TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS du serveur
Les certificats TLS du serveur permettent d'authentifier un serveur.
TLS du serveur subordonné
Accessible en tant que: subordinate_server_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité de fin utilisables pour le protocole TLS du serveur. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du serveur d'entité de fin
Accessible en tant que: leaf_server_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec le protocole TLS du serveur.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Signature de code
Les signatures numériques sont utilisées pour l'authentification du code.
Signature de code subordonnée
Accessible en tant que: subordinate_code_signing_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité de fin utilisables pour la signature de code. Ce profil de certificat comporte une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification subordonnée, mais elles peuvent également fonctionner pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Signature du code de l'entité de fin
Accessible en tant que : leaf_code_signing
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec la signature de code.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME est un protocole de signature d'e-mails qui contribue à améliorer la sécurité des e-mails.
S/MIME subordonné
Accessible en tant que: subordinate_smime_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité de fin compatibles avec S/MIME. Ce profil de certificat comporte une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME de l'entité de fin
Accessible en tant que: leaf_smime
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec S/MIME. S/MIME est souvent utilisé pour le chiffrement ou l'intégrité des e-mails de bout en bout.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Étape suivante
- En savoir plus sur les modèles de certificats
- En savoir plus sur les règles applicables aux règles
- En savoir plus sur l'utilisation d'une règle d'émission