Zertifikatprofile
In diesem Thema finden Sie Zertifikatsprofile, die Sie für verschiedene Szenarien zur Zertifikatsausstellung verwenden können. Sie können diese Zertifikatprofile beim Erstellen eines Zertifikats oder einer Zertifizierungsstelle (Certificate Authority, CA) mit der Google Cloud CLI oder der Google Cloud Console verwenden.
Verwenden Sie die in diesem Dokument angegebenen gcloud-Referenzen zusammen mit dem --use-preset-profile-Flag, um das Zertifikatsprofil zu verwenden, das Ihren Anforderungen entspricht.
Uneingeschränkt
Für Zertifikatprofile ohne Einschränkungen gelten keine Einschränkungen oder Limits.
Stamm nicht eingeschränkt
Zugriff als: root_unconstrained
Für das folgende Zertifikatsprofil gelten weder Einschränkungen für die erweiterte Schlüsselverwendung noch für die Pfadlänge.
Diese Zertifizierungsstelle kann jede Art von Zertifikat ausstellen, auch untergeordnete Zertifizierungsstellen. Diese Werte sind für eine selbst signierte Root-CA geeignet, können aber auch für eine uneingeschränkte untergeordnete Zertifizierungsstelle verwendet werden.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Unbeschränkte Untergrenze mit Pfadlänge von null
Zugriff als: subordinate_unconstrained_pathlen_0
Sie können das folgende Zertifikatsprofil verwenden, um eine Zertifizierungsstelle zu konfigurieren, die keine Einschränkungen für die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) aufweist, aber eine Beschränkung der Pfadlänge aufweist, die das Ausstellen von untergeordneten Zertifizierungsstellen nicht zulässt. Diese Werte sind für CAs geeignet, die Zertifikate der Endentität ausstellen.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Gegenseitiges TLS
mTLS-Zertifikate (Mutual Transport Layer Security) können für die Server-TLS-, Client-TLS-Authentifizierung oder die gegenseitige TLS-Authentifizierung verwendet werden.
Untergeordnetes mTLS
Barrierefrei als: subordinate_mtls_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für die Server-TLS-, Client-TLS- oder gegenseitige TLS-Authentifizierung ausstellen kann. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS für Endentitäten
Zugriff als: leaf_mtls
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate der Endentität konfigurieren, die mit Client-TLS, Server-TLS oder mTLS kompatibel sind. Beispiel: SPIFFE-Zertifikate.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
Client-TLS
Clientzertifikate werden zur Authentifizierung eines Clients verwendet.
Untergeordnetes Client-TLS
Barrierefrei als: subordinate_client_tls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Zertifikate der Endentität ausstellen kann, die für Client-TLS geeignet sind. Dieses Zertifikatsprofil hat eine Beschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Endnutzer-Client-TLS
Barrierefrei als: leaf_client_tls
Mit dem folgenden Zertifikatsprofil können Sie Endnutzerzertifikate konfigurieren, die mit Client-TLS kompatibel sind. Das kann beispielsweise ein Client sein, der sich bei einer TLS-Firewall authentifiziert.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
Server-TLS
Server-TLS-Zertifikate werden zur Authentifizierung eines Servers verwendet.
TLS des untergeordneten Servers
Barrierefrei als: subordinate_server_tls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Zertifikate der Endentität ausstellen kann, die für Server-TLS geeignet sind. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS für Endentitätsserver
Barrierefrei als: leaf_server_tls
Mit dem folgenden Zertifikatsprofil können Sie Endnutzerzertifikate konfigurieren, die mit Server-TLS kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Codesignierung
Digitale Signaturen werden für die Codeauthentifizierung verwendet.
Untergeordnete Codesignatur
Zugriff als: subordinate_code_signing_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Zertifikate der Endentität ausstellen kann, die für die Codesignatur geeignet sind. Dieses Zertifikatsprofil hat eine Beschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Codesignatur der Endentität
Zugriff als: leaf_code_signing
Mit dem folgenden Zertifikatsprofil können Sie Endentitätszertifikate konfigurieren, die mit der Codesignatur kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME ist ein Protokoll zur E-Mail-Signatur, das die E-Mail-Sicherheit verbessert.
Untergeordnetes S/MIME
Zugriff als: subordinate_smime_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für S/MIME ausstellen kann. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Endnutzer-S/MIME
Zugriff als: leaf_smime
Mit dem folgenden Zertifikatsprofil können Sie Endnutzerzertifikate konfigurieren, die mit S/MIME kompatibel sind. S/MIME wird häufig für die Integrität oder Verschlüsselung von E-Mails von Ende zu Ende verwendet.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Nächste Schritte
- Weitere Informationen zu Zertifikatvorlagen
- Weitere Informationen zu Richtliniensteuerungen
- Weitere Informationen zur Verwendung einer Richtlinien für die Ausstellung