Perfiles de certificados
En este tema, se proporcionan perfiles de certificado que puedes usar para varias situaciones de emisión de certificados. Puedes hacer referencia a estos perfiles de certificado cuando crees un certificado o una autoridad certificadora (AC) con Google Cloud CLI o la consola de Google Cloud.
Usa las referencias de gcloud
especificadas en este documento junto con la marca --use-preset-profile
para usar el perfil de certificado que se adapte a tus necesidades.
Sin restricciones
Los perfiles de certificados sin restricciones no agregan restricciones ni límites.
Raíz sin restricciones
Accesible como: root_unconstrained
El siguiente perfil de certificado no tiene uso de claves extendido ni restricciones de longitud de ruta de acceso.
Esta AC puede emitir cualquier tipo de certificado, incluidas las AC subordinadas. Estos valores son adecuados para una AC raíz autofirmada, pero también puedes usarlos para una AC subordinada sin restricciones.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinado sin restricciones con una longitud de ruta de cero
Accesible como: subordinate_unconstrained_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que no tenga restricciones de uso extendido de la clave (EKU), pero que tenga una restricción de longitud de ruta que no permita la emisión de ninguna AC subordinada. Estos valores son adecuados para las AC que emiten certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mutua
Los certificados de seguridad de la capa de transporte (mTLS) mutua se pueden usar para la autenticación de TLS del servidor, del cliente o de TLS mutua.
mTLS subordinada
Accesible como: subordinate_mtls_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para la autenticación de TLS de servidor, TLS de cliente o TLS mutua. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS de entidad final
Accesible como: leaf_mtls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS de cliente, TLS de servidor o mTLS. Por ejemplo, certificados SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS del cliente
Los certificados TLS del cliente se usan para autenticar a un cliente.
TLS de cliente subordinado
Accesible como: subordinate_client_tls_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para TLS de cliente. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS del cliente de entidad final
Accesible como: leaf_client_tls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con el TLS del cliente. Por ejemplo, un cliente que se autentica en un firewall de TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS del servidor
Los certificados TLS del servidor se usan para autenticar un servidor.
TLS de servidor subordinado
Accesible como: subordinate_server_tls_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para el TLS del servidor. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS del servidor de entidad final
Accesible como: leaf_server_tls
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con el TLS del servidor.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Firma de código
Las firmas digitales se usan para la autenticación de código.
Firma de código subordinado
Accesible como: subordinate_code_signing_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para la firma de código. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también pueden funcionar para una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Firma de código de la entidad final
Accesible como: leaf_code_signing
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con la firma de código.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME es un protocolo de firma de correo electrónico que ayuda a mejorar la seguridad de los correos electrónicos.
S/MIME subordinado
Accesible como: subordinate_smime_pathlen_0
Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para S/MIME. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME de entidad final
Accesible como: leaf_smime
Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con S/MIME. S/MIME se usa con frecuencia para la integridad o encriptación de extremo a extremo de los correos electrónicos.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
¿Qué sigue?
- Obtén más información sobre las plantillas de certificados.
- Obtén más información sobre los controles de políticas.
- Obtén más información para usar una política de emisión.