Perfiles de certificados

En este tema, se proporcionan perfiles de certificados que puedes usar para varias situaciones de emisión de certificados. Puedes hacer referencia a estos perfiles de certificado cuando crees un certificado o una autoridad certificadora (AC) con Google Cloud CLI o la consola de Google Cloud.

Usa las referencias gcloud especificadas en este documento junto con la marca --use-preset-profile para utilizar el perfil de certificado que se adapte a tus necesidades.

Sin restricciones

Los perfiles de certificado no restringidos no agregan restricciones ni límites.

Raíz sin restricciones

Accesible como: root_unconstrained

El siguiente perfil de certificado no tiene restricciones de uso de clave extendido ni de longitud de ruta de acceso.

Esta CA puede emitir cualquier tipo de certificado, incluidas las CA subordinadas. Estos valores son apropiados para una AC raíz autofirmada, pero también puedes usarlos en una AC subordinada no restringida.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinada sin restricciones con una ruta de interacciones de cero

Accesible como: subordinate_unconstrained_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que no tenga restricciones de uso extendido de clave (EKU), pero que tenga una restricción de longitud de ruta de acceso que no permita la emisión de AC subordinadas. Estos valores son apropiados para las AC que emiten certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mutua

Los certificados de seguridad mutua de la capa de transporte (mTLS) se pueden usar para la autenticación TLS del servidor, de cliente o de TLS mutua.

mTLS subordinada

Accesible como: subordinate_mtls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una CA que pueda emitir certificados de entidad final utilizables para el TLS del servidor, el TLS del cliente o la autenticación TLS mutua. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidad final

Accesible como: leaf_mtls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con TLS de cliente, TLS del servidor o mTLS. Por ejemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS del cliente

Los certificados TLS de cliente se usan para autenticar a un cliente.

TLS de cliente subordinada

Accesible como: subordinate_client_tls_pathlen_0

Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para la TLS del cliente. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS de cliente de entidad final

Accesible como: leaf_client_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS del cliente. Por ejemplo, un cliente que se autentica ante un firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS del servidor

Los certificados TLS del servidor se usan para autenticar un servidor.

TLS del servidor subordinado

Accesible como: subordinate_server_tls_pathlen_0

Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para el TLS del servidor. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del servidor de entidad final

Accesible como: leaf_server_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS del servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma de código

Las firmas digitales se usan para la autenticación de código.

Firma de código subordinada

Accesible como: subordinate_code_signing_pathlen_0

Puedes usar el siguiente perfil de certificados para configurar una CA que pueda emitir certificados de entidad final que se puedan usar para la firma de código. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también pueden funcionar en el caso de una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma de código de entidad final

Accesible como: leaf_code_signing

Puedes usar el siguiente perfil de certificados para configurar certificados de entidad final que sean compatibles con la firma de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME es un protocolo de firma de correos electrónicos que ayuda a mejorar la seguridad del correo electrónico.

S/MIME subordinada

Accesible como: subordinate_smime_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final utilizables para S/MIME. Este perfil de certificado tiene una restricción de ruta de acceso que no permite más CA subordinadas. Estos valores son apropiados para una AC subordinada, pero también se pueden usar en una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidad final

Accesible como: leaf_smime

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con S/MIME. S/MIME a menudo se utiliza para la encriptación o la integridad de los correos electrónicos de extremo a extremo.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

¿Qué sigue?