Zertifikatprofile
In diesem Thema finden Sie Zertifikatsprofile, die Sie für verschiedene Szenarien zur Zertifikatsausstellung verwenden können. Sie können diese Zertifikatprofile beim Erstellen eines Zertifikats oder einer Zertifizierungsstelle (Certificate Authority, CA) mit der Google Cloud CLI oder der Google Cloud Console verwenden.
Verwenden Sie die in diesem Dokument angegebenen gcloud-Referenzen zusammen mit dem --use-preset-profile-Flag, um das Zertifikatsprofil zu verwenden, das Ihren Anforderungen entspricht.
Uneingeschränkt
Für Zertifikatprofile ohne Einschränkungen gelten keine Einschränkungen oder Limits.
Stamm ohne Einschränkungen
Zugriff als: root_unconstrained
Für das folgende Zertifikatsprofil gelten weder Einschränkungen für die erweiterte Schlüsselverwendung noch für die Pfadlänge.
Diese Zertifizierungsstelle kann jede Art von Zertifikat ausstellen, einschließlich untergeordneter Zertifizierungsstellen. Diese Werte sind für eine selbst signierte Root-CA geeignet, können aber auch für eine uneingeschränkte untergeordnete Zertifizierungsstelle verwendet werden.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Untergeordnet, ohne Einschränkungen, Pfadlänge 0
Zugriff als: subordinate_unconstrained_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die keine Einschränkungen für die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) hat, aber eine Pfadlängenbeschränkung, die die Ausstellung von untergeordneten Zertifizierungsstellen nicht zulässt. Diese Werte sind für Zertifizierungsstellen geeignet, die Endentitätszertifikate ausstellen.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Gegenseitiges TLS
Zertifikate für die gegenseitige Transportschichtsicherheit (Mutual Transport Layer Security, mTLS) können für die Server-TLS-, Client-TLS- oder gegenseitige TLS-Authentifizierung verwendet werden.
Untergeordnetes mTLS
Zugriff als: subordinate_mtls_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate ausstellen kann, die für die Server-TLS-, Client-TLS- oder gegenseitige TLS-Authentifizierung verwendet werden können. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS für Endentitäten
Zugriff als: leaf_mtls
Mit dem folgenden Zertifikatprofil können Sie Endnutzerzertifikate konfigurieren, die mit Client-TLS, Server-TLS oder mTLS kompatibel sind. Beispiel: SPIFFE-Zertifikate.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
Client-TLS
Client-TLS-Zertifikate werden zur Authentifizierung eines Clients verwendet.
Untergeordnetes Client-TLS
Zugriff als: subordinate_client_tls_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate ausstellen kann, die für Client-TLS verwendet werden können. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Endnutzer-Client-TLS
Zugriff als: leaf_client_tls
Mit dem folgenden Zertifikatsprofil können Sie Endnutzerzertifikate konfigurieren, die mit Client-TLS kompatibel sind. Beispiel: Ein Client, der sich bei einer TLS-Firewall authentifiziert.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
Server-TLS
Server-TLS-Zertifikate werden verwendet, um einen Server zu authentifizieren.
Untergeordneter Server-TLS
Zugriff als: subordinate_server_tls_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für Server-TLS ausstellen kann. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS für Endentitätsserver
Zugriff als: leaf_server_tls
Mit dem folgenden Zertifikatsprofil können Sie Endnutzerzertifikate konfigurieren, die mit Server-TLS kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Codesignierung
Digitale Signaturen werden für die Codeauthentifizierung verwendet.
Untergeordnete Codesignatur
Zugriff als: subordinate_code_signing_pathlen_0
Mit dem folgenden Zertifikatsprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate ausstellen kann, die für die Codesignatur verwendet werden können. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endentitätszertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Codesignatur für Endentitäten
Zugriff als: leaf_code_signing
Mit dem folgenden Zertifikatsprofil können Sie Endentitätszertifikate konfigurieren, die mit der Codesignatur kompatibel sind.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME ist ein Protokoll zur E-Mail-Signatur, das die E-Mail-Sicherheit verbessert.
Untergeordnete S/MIME-Nachricht
Zugriff als: subordinate_smime_pathlen_0
Mit dem folgenden Zertifikatprofil können Sie eine Zertifizierungsstelle konfigurieren, die Endentitätszertifikate für S/MIME ausstellen kann. Dieses Zertifikatsprofil hat eine Pfadlängenbeschränkung, die keine weiteren untergeordneten Zertifizierungsstellen zulässt. Diese Werte sind für eine untergeordnete Zertifizierungsstelle geeignet, können aber auch für eine selbst signierte Zertifizierungsstelle verwendet werden, die Endnutzerzertifikate direkt ausstellt.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Endnutzer-S/MIME
Zugriff als: leaf_smime
Mit dem folgenden Zertifikatsprofil können Sie Endentitätszertifikate konfigurieren, die mit S/MIME kompatibel sind. S/MIME wird häufig für die Ende-zu-Ende-Integrität oder -Verschlüsselung von E-Mails verwendet.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Nächste Schritte
- Weitere Informationen zu Zertifikatvorlagen
- Weitere Informationen zu Richtliniensteuerungen
- Weitere Informationen zur Verwendung einer Richtlinien für die Ausstellung