Zertifikatprofile
In diesem Thema finden Sie Zertifikatsprofile, die Sie für verschiedene Szenarien der Zertifikatsausstellung verwenden können. Sie können auf diese Zertifikatprofile verweisen, wenn Sie ein Zertifikat oder eine Zertifizierungsstelle mit der Google Cloud CLI oder der Google Cloud Console erstellen.
Verwenden Sie die in diesem Dokument angegebenen gcloud-Referenzen zusammen mit dem Flag --use-preset-profile, um das Zertifikatprofil zu nutzen, das Ihren Anforderungen entspricht.
Uneingeschränkt
Uneingeschränkte Zertifikatprofile bieten keine Einschränkungen oder Limits.
Stamm nicht beschränkt
Zugriff als: root_unconstrained
Das folgende Zertifikatsprofil hat weder Einschränkungen für die erweiterte Schlüsselnutzung noch für die Pfadlänge.
Diese Zertifizierungsstelle kann jede Art von Zertifikat ausstellen, auch untergeordnete Zertifizierungsstellen. Diese Werte eignen sich für eine selbst signierte Stammzertifizierungsstelle, Sie können sie aber auch für eine unbeschränkte untergeordnete Zertifizierungsstelle verwenden.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Untergeordnetes Element ohne Fixierung mit Pfadlänge von null
Zugriff als: subordinate_unconstrained_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die keine Einschränkungen für die erweiterte Schlüsselnutzung (Extended Key Usage, EKU) hat, aber eine Einschränkung der Pfadlänge, die die Ausstellung von untergeordneten Zertifizierungsstellen nicht zulässt. Diese Werte sind für CAs geeignet, die Endentitätszertifikate ausstellen.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Gegenseitiges TLS
Gegenseitige Transport Layer Security-Zertifikate (mTLS) können für Server-TLS-, Client-TLS- oder gegenseitige TLS-Authentifizierung verwendet werden.
Untergeordnetes mTLS
Zugriff als: subordinate_mtls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate ausstellen kann, die für die Server-TLS-Authentifizierung, Client-TLS-Authentifizierung oder die gegenseitige TLS-Authentifizierung verwendet werden können. Dieses Zertifikatsprofil hat eine Einschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS der Endentität
Zugriff als: leaf_mtls
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate von Endentitäten konfigurieren, die mit Client-TLS, Server-TLS oder mTLS kompatibel sind. Beispiel: SPIFFE-Zertifikate.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
Client-TLS
Client-TLS-Zertifikate werden zur Authentifizierung eines Clients verwendet.
Untergeordnetes Client-TLS
Zugriff als: subordinate_client_tls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für Client-TLS ausstellen kann. Dieses Zertifikatsprofil hat eine Einschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS des Endentitätsclients
Zugriff als: leaf_client_tls
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate von Endentitäten konfigurieren, die mit Client-TLS kompatibel sind. Beispiel: Ein Client authentifiziert sich bei einer TLS-Firewall.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
Server-TLS
Server-TLS-Zertifikate werden zur Authentifizierung eines Servers verwendet.
TLS des untergeordneten Servers
Zugriff als: subordinate_server_tls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für TLS-Server ausstellen kann. Dieses Zertifikatsprofil hat eine Einschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS der Endentitätsserver
Zugriff als: leaf_server_tls
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate von Endentitäten konfigurieren, die mit TLS des Servers kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Codesignierung
Digitale Signaturen werden für die Codeauthentifizierung verwendet.
Untergeordnete Codesignierung
Zugriff als: subordinate_code_signing_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für die Codesignatur ausstellen kann. Dieses Zertifikatsprofil hat eine Einschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Codesignatur des Endentitäts
Zugriff als: leaf_code_signing
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate von Endentitäten konfigurieren, die mit der Codesignatur kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME ist ein E-Mail-Signaturprotokoll, mit dem die Sicherheit von E-Mails verbessert wird.
Untergeordnetes S/MIME
Zugriff als: subordinate_smime_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für S/MIME ausstellen kann. Dieses Zertifikatsprofil hat eine Einschränkung der Pfadlänge, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Zertifikate der Endentität direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME der Endentität
Zugriff als: leaf_smime
Mit dem folgenden Zertifikatsprofil können Sie Zertifikate von Endentitäten konfigurieren, die mit S/MIME kompatibel sind. S/MIME wird häufig für die Ende-zu-Ende-Integrität oder Verschlüsselung von E-Mails verwendet.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Nächste Schritte
- Weitere Informationen zu Zertifikatsvorlagen
- Weitere Informationen zu Richtlinien
- Weitere Informationen zur Verwendung einer Ausstellungsrichtlinie