Perfiles de certificados

En este tema se proporcionan perfiles de certificado que puedes usar en diferentes situaciones de emisión de certificados. Puedes hacer referencia a estos perfiles de certificado al crear un certificado o una autoridad de certificación (CA) mediante la CLI de Google Cloud o la Google Cloud consola.

Usa las referencias gcloud especificadas en este documento junto con la marca --use-preset-profile para utilizar el perfil de certificado que se adapte a tus necesidades.

Sin restricciones

Los perfiles de certificado sin restricciones no añaden ninguna restricción ni límite.

Raíz sin restricciones

Accesible como: root_unconstrained

El siguiente perfil de certificado no tiene ni uso de clave extendido ni restricciones de longitud de ruta.

Esta CA puede emitir cualquier tipo de certificado, incluidas las CAs subordinadas. Estos valores son adecuados para una AC raíz autofirmada, pero también puedes usarlos para una AC subordinada sin restricciones.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinada sin restricciones con una longitud de ruta de cero

Accesible como: subordinate_unconstrained_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que no tenga restricciones de uso de clave extendido (UKE), pero que tenga una restricción de longitud de ruta que no permita emitir ninguna AC subordinada. Estos valores son adecuados para las CAs que emiten certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mutuo

Los certificados de Seguridad en la capa de transporte mutua (mTLS) se pueden usar para la autenticación TLS del servidor, TLS del cliente o TLS mutua.

mTLS subordinado

Accesible como: subordinate_mtls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para la autenticación TLS de servidor, TLS de cliente o TLS mutua. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más ACs subordinadas. Estos valores son adecuados para una CA subordinada, pero también se pueden usar para una CA autofirmada que emita directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidad final

Accesible como: leaf_mtls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS de cliente, TLS de servidor o mTLS. Por ejemplo, los certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS de cliente

Los certificados TLS de cliente se usan para autenticar un cliente.

TLS de cliente subordinado

Accesible como: subordinate_client_tls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para TLS de cliente. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más ACs subordinadas. Estos valores son adecuados para una CA subordinada, pero también se pueden usar para una CA autofirmada que emita directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS de cliente de entidad final

Accesible como: leaf_client_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS de cliente. Por ejemplo, un cliente que se autentica en un cortafuegos TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS de servidor

Los certificados TLS de servidor se usan para autenticar un servidor.

TLS de servidor subordinado

Accesible como: subordinate_server_tls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para TLS de servidor. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más ACs subordinadas. Estos valores son adecuados para una CA subordinada, pero también se pueden usar para una CA autofirmada que emita directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS de servidor de entidad final

Accesible como: leaf_server_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS de servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma de código

Las firmas digitales se usan para autenticar el código.

Firma de código subordinada

Accesible como: subordinate_code_signing_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para firmar código. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más ACs subordinadas. Estos valores son adecuados para una CA subordinada, pero también pueden funcionar para una CA autofirmada que emita directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma de código de entidad final

Accesible como: leaf_code_signing

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con la firma de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME es un protocolo de firma de correo que ayuda a mejorar la seguridad del correo electrónico.

S/MIME subordinado

Accesible como: subordinate_smime_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para S/MIME. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más ACs subordinadas. Estos valores son adecuados para una CA subordinada, pero también se pueden usar para una CA autofirmada que emita directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidad final

Accesible como: leaf_smime

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con S/MIME. S/MIME se suele usar para el cifrado o la integridad de los correos de extremo a extremo.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Siguientes pasos

• Más información sobre las plantillas de certificados
• Más información sobre los controles de las políticas
• Más información sobre cómo usar una política de emisión