Profili dei certificati

Questo argomento fornisce i profili dei certificati che puoi utilizzare per diversi scenari di emissione dei certificati. Puoi fare riferimento a questi profili di certificato quando crei un certificato o un'autorità di certificazione (CA) utilizzando Google Cloud CLI o la console Google Cloud.

Usa i riferimenti gcloud specificati in questo documento insieme al flag --use-preset-profile per utilizzare il profilo di certificato che soddisfa le tue esigenze.

Senza vincoli

I profili di certificato non vincolati non aggiungono vincoli o limiti.

Radice non vincolata

Accessibile come: root_unconstrained

Il seguente profilo di certificato non ha vincoli né sull'utilizzo esteso della chiave né sulla lunghezza del percorso.

Questa CA può emettere qualsiasi tipo di certificato, incluse le CA subordinate. Questi valori sono appropriati per una CA radice autofirmata, ma puoi utilizzarli anche per una CA subordinata non vincolata.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinata non vincolata con lunghezza del percorso pari a zero

Accessibile come: subordinate_unconstrained_pathlen_0

Puoi utilizzare il profilo di certificato riportato di seguito per configurare una CA che non abbia vincoli per l'utilizzo esteso delle chiavi (EKU), ma ha una restrizione sulla lunghezza del percorso che non consente l'emissione di CA subordinate. Questi valori sono appropriati per le CA che emettono certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Mutual TLS

I certificati mTLS (mutual Transport Layer Security) possono essere utilizzati per l'autenticazione TLS del server, TLS del client o TLS reciproca.

mTLS subordinato

Accessibile come: subordinate_mtls_pathlen_0

Puoi utilizzare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per TLS del server, TLS del client o autenticazione TLS reciproca (mTLS). Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS dell'entità finale

Accessibile come: leaf_mtls

Puoi usare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con TLS del client, TLS del server o mTLS. Ad esempio, i certificati SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS client

I certificati TLS client vengono utilizzati per autenticare un client.

TLS client subordinato

Accessibile come: subordinate_client_tls_pathlen_0

Puoi usare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per il protocollo TLS del client. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS client dell'entità finale

Accessibile come: leaf_client_tls

Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con TLS del client. Ad esempio, un client che si autentica a un firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS server

I certificati TLS del server vengono utilizzati per autenticare un server.

TLS server subordinato

Accessibile come: subordinate_server_tls_pathlen_0

Puoi usare il profilo di certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per il protocollo TLS del server. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del server dell'entità finale

Accessibile come: leaf_server_tls

Puoi utilizzare il profilo di certificato seguente per configurare i certificati dell'entità finale compatibili con il protocollo TLS del server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma del codice

Le firme digitali vengono utilizzate per l'autenticazione del codice.

Firma di codice subordinata

Accessibile come: subordinate_code_signing_pathlen_0

Puoi usare il profilo certificato seguente per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per la firma del codice. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono anche funzionare per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma del codice dell'entità finale

Accessibile come: leaf_code_signing

Puoi usare il profilo di certificato seguente per configurare certificati di entità finali compatibili con la firma del codice.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME è un protocollo per la firma delle email che contribuisce a migliorare la sicurezza delle email.

S/MIME subordinato

Accessibile come: subordinate_smime_pathlen_0

Puoi utilizzare il seguente profilo di certificato per configurare una CA che possa emettere certificati dell'entità finale utilizzabili per S/MIME. Questo profilo di certificato ha una limitazione sulla lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente certificati di entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME dell'entità finale

Accessibile come: leaf_smime

Puoi utilizzare il seguente profilo di certificato per configurare i certificati dell'entità finale compatibili con S/MIME. S/MIME viene spesso utilizzato per l'integrità o la crittografia end-to-end delle email.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Passaggi successivi