Perfis certificados

Neste tópico, apresentamos os perfis de certificados que podem ser usados em vários cenários de emissão de certificados. É possível referenciar esses perfis de certificado ao criar um certificado ou uma autoridade de certificação (CA) usando a Google Cloud CLI ou o console do Google Cloud.

Use as referências de gcloud especificadas neste documento com a sinalização --use-preset-profile para utilizar o perfil de certificado que atenda às suas necessidades.

Sem restrições

Perfis de certificado sem restrições não adicionam restrições nem limites.

Raiz sem restrições

Acessível como: root_unconstrained

O perfil de certificado a seguir não tem restrições de uso de chave estendido nem restrições de tamanho de caminho.

Essa CA pode emitir qualquer tipo de certificado, inclusive CAs subordinadas. Esses valores são apropriados para uma CA raiz autoassinado, mas também é possível usá-los para uma CA subordinada sem restrições.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinado sem restrições com tamanho do caminho igual a zero

Acessível como: subordinate_unconstrained_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma CA que não tenha restrições de uso estendido de chave (EKU), mas que tenha uma restrição de tamanho de caminho que não permita a emissão de nenhuma CA subordinada. Esses valores são adequados para CAs que emitem certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mútuo

Os certificados de segurança de camada de transporte mútua (mTLS, na sigla em inglês) podem ser usados para a autenticação TLS de servidor, TLS de cliente ou TLS mútuo.

mTLS subordinado

Acessível como: subordinate_mtls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma CA que pode emitir certificados de entidade final utilizáveis para a autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras CAs subordinadas. Esses valores são apropriados para uma CA subordinada, mas também podem ser usados para uma CA autoassinado que emite diretamente certificados da entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS da entidade final

Acessível como: leaf_mtls

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com TLS do cliente, TLS de servidor ou mTLS. Por exemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS do cliente

Os certificados TLS do cliente são usados para autenticar um cliente.

TLS de cliente subordinado

Acessível como: subordinate_client_tls_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma CA que possa emitir certificados de entidade final utilizáveis para o TLS do cliente. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras CAs subordinadas. Esses valores são apropriados para uma CA subordinada, mas também podem ser usados para uma CA autoassinado que emite diretamente certificados da entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do cliente de entidade final

Acessível como: leaf_client_tls

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente que se autentica em um firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS do servidor

Os certificados TLS são usados para autenticar um servidor.

TLS de servidor subordinado

Acessível como: subordinate_server_tls_pathlen_0

Use o perfil de certificado a seguir para configurar uma CA que possa emitir certificados de entidade final utilizáveis para o TLS do servidor. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras CAs subordinadas. Esses valores são apropriados para uma CA subordinada, mas também podem ser usados para uma CA autoassinado que emite diretamente certificados da entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS do servidor da entidade final

Acessível como: leaf_server_tls

Você pode usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com o TLS do servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Assinatura de código

As assinaturas digitais são usadas para a autenticação de código.

Assinatura de código subordinada

Acessível como: subordinate_code_signing_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma CA que pode emitir certificados de entidade final utilizáveis para a assinatura de código. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras CAs subordinadas. Esses valores são apropriados para uma CA subordinada, mas também podem funcionar para uma CA autoassinado que emite diretamente certificados da entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Assinatura do código de entidade final

Acessível como: leaf_code_signing

É possível usar o perfil de certificado a seguir para configurar certificados de entidade final compatíveis com a assinatura de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

O S/MIME é um protocolo de assinatura de e-mail que ajuda a melhorar a segurança do e-mail.

S/MIME subordinado

Acessível como: subordinate_smime_pathlen_0

É possível usar o perfil de certificado a seguir para configurar uma AC que pode emitir certificados de entidade final utilizáveis para o S/MIME. Este perfil de certificado tem uma restrição de tamanho de caminho que não permite outras CAs subordinadas. Esses valores são apropriados para uma CA subordinada, mas também podem ser usados para uma CA autoassinado que emite diretamente certificados da entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME da entidade final

Acessível como: leaf_smime

Você pode usar o perfil a seguir para configurar certificados de entidade final compatíveis com o S/MIME. Geralmente, o S/MIME é usado para a criptografia ou integridade de e-mail de ponta a ponta.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

A seguir

• Saiba mais sobre modelos de certificado.
• Saiba mais sobre os controles de política.
• Saiba mais sobre como usar uma política de emissão.