Perfiles de certificados

En este tema, se proporcionan perfiles de certificado que puedes usar para varias situaciones de emisión de certificados. Puedes hacer referencia a estos perfiles de certificado cuando crees un certificado o una autoridad certificadora (AC) con Google Cloud CLI o la consola de Google Cloud.

Usa las referencias de gcloud especificadas en este documento junto con la marca --use-preset-profile para usar el perfil de certificado que se adapte a tus necesidades.

Sin restricciones

Los perfiles de certificados sin restricciones no agregan restricciones ni límites.

Raíz sin restricciones

Accesible como: root_unconstrained

El siguiente perfil de certificado no tiene uso de claves extendido ni restricciones de longitud de ruta de acceso.

Esta AC puede emitir cualquier tipo de certificado, incluidas las AC subordinadas. Estos valores son adecuados para una AC raíz autofirmada, pero también puedes usarlos para una AC subordinada sin restricciones.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinado sin restricciones con una longitud de ruta de cero

Accesible como: subordinate_unconstrained_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que no tenga restricciones de uso extendido de la clave (EKU), pero que tenga una restricción de longitud de ruta que no permita la emisión de ninguna AC subordinada. Estos valores son adecuados para las AC que emiten certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mutua

Los certificados de seguridad de la capa de transporte (mTLS) mutua se pueden usar para la autenticación de TLS del servidor, del cliente o de TLS mutua.

mTLS subordinada

Accesible como: subordinate_mtls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para la autenticación de TLS de servidor, TLS de cliente o TLS mutua. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidad final

Accesible como: leaf_mtls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con TLS de cliente, TLS de servidor o mTLS. Por ejemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS del cliente

Los certificados TLS del cliente se usan para autenticar a un cliente.

TLS de cliente subordinado

Accesible como: subordinate_client_tls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para TLS de cliente. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del cliente de entidad final

Accesible como: leaf_client_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con el TLS del cliente. Por ejemplo, un cliente que se autentica en un firewall de TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS del servidor

Los certificados TLS del servidor se usan para autenticar un servidor.

TLS de servidor subordinado

Accesible como: subordinate_server_tls_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para el TLS del servidor. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del servidor de entidad final

Accesible como: leaf_server_tls

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con el TLS del servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma de código

Las firmas digitales se usan para la autenticación de código.

Firma de código subordinado

Accesible como: subordinate_code_signing_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para la firma de código. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también pueden funcionar para una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma de código de la entidad final

Accesible como: leaf_code_signing

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final que sean compatibles con la firma de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME es un protocolo de firma de correo electrónico que ayuda a mejorar la seguridad de los correos electrónicos.

S/MIME subordinado

Accesible como: subordinate_smime_pathlen_0

Puedes usar el siguiente perfil de certificado para configurar una AC que pueda emitir certificados de entidad final que se puedan usar para S/MIME. Este perfil de certificado tiene una restricción de longitud de ruta que no permite más AC subordinadas. Estos valores son adecuados para una AC subordinada, pero también se pueden usar para una AC autofirmada que emite directamente certificados de entidad final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidad final

Accesible como: leaf_smime

Puedes usar el siguiente perfil de certificado para configurar certificados de entidad final compatibles con S/MIME. S/MIME se usa con frecuencia para la integridad o encriptación de extremo a extremo de los correos electrónicos.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

¿Qué sigue?