Profils de certificat
Cette rubrique fournit des profils de certificat que vous pouvez utiliser pour divers scénarios d'émission de certificats. Vous pouvez référencer ces profils de certificat lorsque vous créez un certificat ou une autorité de certification à l'aide de la Google Cloud CLI ou de la console Google Cloud.
Utilisez les références gcloud
spécifiées dans ce document avec l'indicateur --use-preset-profile
pour utiliser le profil de certificat adapté à vos besoins.
Sans contrainte
Les profils de certificat sans contrainte n'ajoutent aucune contrainte ni limite.
Racine sans contrainte
Accessible en tant que: root_unconstrained
Le profil de certificat suivant ne présente aucune contrainte d'utilisation étendue de la clé ni de longueur de chemin.
Cette autorité de certification peut émettre n'importe quel type de certificat, y compris des CA subordonnées. Ces valeurs conviennent à une autorité de certification racine autosignée, mais vous pouvez également les utiliser pour une autorité de certification subordonnée sans contraintes.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordonné sans contrainte avec une longueur de chemin égale à zéro
Accessible en tant que: subordinate_unconstrained_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification qui n'est pas soumise à des contraintes d'utilisation étendue des clés (EKU), mais qui comporte une restriction de longueur du chemin qui n'autorise pas l'émission d'autorités de certification subordonnées. Ces valeurs conviennent aux autorités de certification qui émettent des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mutuel
Les certificats mTLS (Mutual Transport Layer Security) peuvent être utilisés pour l'authentification TLS du serveur, le protocole TLS client ou l'authentification TLS mutuelle.
mTLS subordonné
Accessible en tant que: subordinate_mtls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité finale utilisables pour l'authentification TLS du serveur, le protocole TLS client ou l'authentification TLS mutuelle. Ce profil de certificat présente une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS de l'entité de fin
Accessible en tant que: leaf_mtls
Vous pouvez utiliser le profil de certificat suivant pour configurer les certificats d'entité finale compatibles avec le protocole TLS du client, le protocole TLS du serveur ou mTLS. Par exemple, les certificats SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS du client
Les certificats TLS client sont utilisés pour authentifier un client.
TLS du client subordonné
Accessible en tant que: subordinate_client_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité finale utilisables pour le client TLS. Ce profil de certificat présente une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du client de l'entité de fin
Accessible en tant que: leaf_client_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer les certificats d'entité finale compatibles avec le protocole TLS du client. Par exemple, un client s'authentifie auprès d'un pare-feu TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS du serveur
Les certificats TLS de serveur permettent d'authentifier un serveur.
TLS de serveur subordonné
Accessible en tant que: subordinate_server_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité finale utilisables pour le protocole TLS du serveur. Ce profil de certificat présente une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du serveur d'entités de fin
Accessible en tant que: leaf_server_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer les certificats d'entité finale compatibles avec le protocole TLS du serveur.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Signature de code
Les signatures numériques sont utilisées pour l'authentification par code.
Signature de code subordonnée
Accessible en tant que: subordinate_code_signing_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité finale pouvant être utilisés pour la signature du code. Ce profil de certificat présente une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également fonctionner pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Signature du code de l'entité finale
Accessible en tant que: leaf_code_signing
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec la signature du code.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME est un protocole de signature d'e-mails qui permet d'améliorer la sécurité des e-mails.
S/MIME subordonné
Accessible en tant que: subordinate_smime_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification capable d'émettre des certificats d'entité finale utilisables pour S/MIME. Ce profil de certificat présente une restriction de longueur du chemin qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME de l'entité de fin
Accessible en tant que: leaf_smime
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec S/MIME. S/MIME est souvent utilisé pour chiffrer ou assurer l'intégrité des e-mails de bout en bout.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Étapes suivantes
- En savoir plus sur les modèles de certificats
- En savoir plus sur les paramètres des règles
- Découvrez comment utiliser une règle d'émission.