Questa pagina è stata tradotta dall'API Cloud Translation.

Profili dei certificati

Questo argomento fornisce profili di certificati che puoi utilizzare per vari scenari di rilascio dei certificati. Puoi fare riferimento a questi profili di certificato quando crei un certificato o un'autorità di certificazione (CA) utilizzando Google Cloud CLI o la console Google Cloud.

Usa i riferimenti gcloud specificati in questo documento insieme al flag --use-preset-profile per utilizzare il profilo di certificato che soddisfa le tue esigenze.

Senza vincoli

I profili di certificato non vincolati non aggiungono vincoli o limiti.

Radice non vincolata

Accessibile come: root_unconstrained

Il seguente profilo di certificato non ha vincoli né sull'utilizzo esteso della chiave né sulla lunghezza del percorso.

Questa CA può emettere qualsiasi tipo di certificato, incluse le CA subordinate. Questi valori sono appropriati per una CA radice autofirmata, ma puoi utilizzarli anche per una CA subordinata non vincolata.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinato senza vincoli con lunghezza del percorso pari a zero

Accessibile come: subordinate_unconstrained_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare una CA senza vincoli di utilizzo esteso della chiave (EKU), ma con una limitazione della lunghezza del percorso che non consente l'emissione di CA subordinate. Questi valori sono appropriati per le CA che emettono certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Mutual TLS

I certificati mTLS (mutual Transport Layer Security) possono essere utilizzati per l'autenticazione TLS del server, TLS del client o TLS reciproca.

mTLS secondario

Accessibile come: subordinate_mtls_pathlen_0

Puoi utilizzare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per TLS del server, TLS del client o autenticazione TLS reciproca (mTLS). Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS dell'entità finale

Accessibile come: leaf_mtls

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con TLS client, TLS server o mTLS. Ad esempio, i certificati SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS client

I certificati TLS client vengono utilizzati per autenticare un client.

TLS client subordinato

Accessibile come: subordinate_client_tls_pathlen_0

Puoi usare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per il protocollo TLS del client. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS client dell'entità finale

Accessibile come: leaf_client_tls

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con TLS client. Ad esempio, un client che si autentica su un firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS server

I certificati TLS del server vengono utilizzati per autenticare un server.

TLS server subordinato

Accessibile come: subordinate_server_tls_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione che possa emettere certificati dell'entità finale utilizzabili per TLS del server. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del server dell'entità finale

Accessibile come: leaf_server_tls

Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con il protocollo TLS del server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma del codice

Le firme digitali vengono utilizzate per l'autenticazione del codice.

Firma di codice subordinata

Accessibile come: subordinate_code_signing_pathlen_0

Puoi usare il profilo certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per la firma del codice. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono anche funzionare per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma del codice dell'entità finale

Accessibile come: leaf_code_signing

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con la firma del codice.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME è un protocollo di firma delle email che contribuisce a migliorare la sicurezza delle email.

S/MIME subordinato

Accessibile come: subordinate_smime_pathlen_0

Puoi utilizzare il seguente profilo di certificato per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per S/MIME. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME dell'entità finale

Accessibile come: leaf_smime

Puoi utilizzare il seguente profilo di certificato per configurare i certificati dell'entità finale compatibili con S/MIME. S/MIME viene spesso utilizzato per l'integrità o la crittografia end-to-end delle email.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Passaggi successivi

Scopri di più sui modelli di certificato.
Scopri di più sui controlli delle norme.
Scopri di più sull'utilizzo di un criterio di emissione.