Profili dei certificati
Questo argomento fornisce i profili dei certificati che puoi utilizzare per diversi scenari di emissione dei certificati. Puoi fare riferimento a questi profili di certificato quando crei un certificato o un'autorità di certificazione (CA) utilizzando Google Cloud CLI o la console Google Cloud.
Usa i riferimenti gcloud
specificati in questo documento insieme al flag --use-preset-profile
per utilizzare il profilo di certificato che soddisfa le tue esigenze.
Senza vincoli
I profili di certificato non vincolati non aggiungono vincoli o limiti.
Radice non vincolata
Accessibile come: root_unconstrained
Il seguente profilo di certificato non ha vincoli né sull'utilizzo esteso della chiave né sulla lunghezza del percorso.
Questa CA può emettere qualsiasi tipo di certificato, incluse le CA subordinate. Questi valori sono appropriati per una CA radice autofirmata, ma puoi utilizzarli anche per una CA subordinata non vincolata.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinata non vincolata con lunghezza del percorso pari a zero
Accessibile come: subordinate_unconstrained_pathlen_0
Puoi utilizzare il profilo di certificato riportato di seguito per configurare una CA che non abbia vincoli per l'utilizzo esteso delle chiavi (EKU), ma ha una restrizione sulla lunghezza del percorso che non consente l'emissione di CA subordinate. Questi valori sono appropriati per le CA che emettono certificati dell'entità finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Mutual TLS
I certificati mTLS (mutual Transport Layer Security) possono essere utilizzati per l'autenticazione TLS del server, TLS del client o TLS reciproca.
mTLS subordinato
Accessibile come: subordinate_mtls_pathlen_0
Puoi utilizzare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per TLS del server, TLS del client o autenticazione TLS reciproca (mTLS). Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS dell'entità finale
Accessibile come: leaf_mtls
Puoi usare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con TLS del client, TLS del server o mTLS. Ad esempio, i certificati SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS client
I certificati TLS client vengono utilizzati per autenticare un client.
TLS client subordinato
Accessibile come: subordinate_client_tls_pathlen_0
Puoi usare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per il protocollo TLS del client. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS client dell'entità finale
Accessibile come: leaf_client_tls
Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con TLS del client. Ad esempio, un client che si autentica a un firewall TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS server
I certificati TLS del server vengono utilizzati per autenticare un server.
TLS server subordinato
Accessibile come: subordinate_server_tls_pathlen_0
Puoi usare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per il protocollo TLS del server. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS del server dell'entità finale
Accessibile come: leaf_server_tls
Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con il protocollo TLS del server.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Firma del codice
Le firme digitali vengono utilizzate per l'autenticazione del codice.
Firma di codice subordinata
Accessibile come: subordinate_code_signing_pathlen_0
Puoi usare il profilo certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per la firma del codice. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono anche funzionare per una CA autofirmata che emette direttamente certificati di entità finali.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Firma del codice dell'entità finale
Accessibile come: leaf_code_signing
Puoi usare il profilo di certificato seguente per configurare certificati di entità finali compatibili con la firma del codice.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME è un protocollo per la firma delle email che contribuisce a migliorare la sicurezza delle email.
S/MIME subordinato
Accessibile come: subordinate_smime_pathlen_0
Puoi utilizzare il seguente profilo di certificato per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per S/MIME. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME dell'entità finale
Accessibile come: leaf_smime
Puoi utilizzare il seguente profilo di certificato per configurare i certificati dell'entità finale compatibili con S/MIME. S/MIME viene spesso utilizzato per l'integrità o la crittografia end-to-end delle email.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Passaggi successivi
- Scopri di più sui modelli di certificato.
- Scopri di più sui controlli delle norme.
- Scopri di più sull'utilizzo di un criterio di emissione.