Profils de certificat
Cette section fournit des profils de certificats que vous pouvez utiliser pour différents scénarios d'émission de certificats. Vous pouvez faire référence à ces profils de certificats lorsque vous créez un certificat ou une autorité de certification (CA) à l'aide de Google Cloud CLI ou de la console Google Cloud.
Utilisez les références gcloud spécifiées dans ce document ainsi que l'indicateur --use-preset-profile pour utiliser le profil de certificat qui répond à vos besoins.
Sans contrainte
Les profils de certificats sans contraintes n'ajoutent aucune contrainte ni limite.
Racine non contrainte
Accessible en tant que: root_unconstrained
Le profil de certificat suivant ne comporte ni utilisation étendue de clé ni contraintes de longueur de chemin d'accès.
Cette autorité de certification peut émettre n'importe quel type de certificat, y compris des autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification racine autosignée, mais vous pouvez également les utiliser pour une autorité de certification subordonnée non contrainte.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordonné non contraint avec une longueur de chemin de zéro
Accessible en tant que: subordinate_unconstrained_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification qui ne comporte aucune contrainte d'utilisation étendue des clés (EKU), mais qui comporte une restriction de longueur de chemin d'accès qui n'autorise pas l'émission d'autorités de certification subordonnées. Ces valeurs sont adaptées aux autorités de certification qui émettent des certificats d'entité de fin.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS mutuel
Les certificats TLS mutuels (mTLS) peuvent être utilisés pour l'authentification TLS du serveur, du client ou TLS mutuel.
mTLS subordonné
Accessible en tant que: subordinate_mtls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour l'authentification TLS du serveur, TLS du client ou TLS mutuel. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS d'entité de fin
Accessible en tant que: leaf_mtls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec le protocole TLS client, le protocole TLS serveur ou le protocole mTLS. Par exemple, les certificats SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS du client
Les certificats TLS client permettent d'authentifier un client.
TLS client secondaire
Accessible en tant que: subordinate_client_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour le TLS client. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du client d'entité finale
Accessible en tant que: leaf_client_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec le protocole TLS client. Par exemple, un client qui s'authentifie auprès d'un pare-feu TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS du serveur
Les certificats TLS de serveur permettent d'authentifier un serveur.
TLS du serveur secondaire
Accessible en tant que: subordinate_server_tls_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour le protocole TLS du serveur. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS du serveur d'entité de fin
Accessible en tant que: leaf_server_tls
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec le protocole TLS du serveur.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Signature de code
Les signatures numériques sont utilisées pour authentifier le code.
Signature de code secondaire
Accessible en tant que: subordinate_code_signing_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour la signature de code. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont appropriées pour une autorité de certification subordonnée, mais elles peuvent également fonctionner pour une autorité de certification autossignée qui délivre directement des certificats d'entité de fin.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
Signature de code d'entité finale
Accessible en tant que: leaf_code_signing
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec la signature de code.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
S/MIME est un protocole de signature d'e-mails qui permet de renforcer la sécurité des e-mails.
S/MIME subordonné
Accessible en tant que: subordinate_smime_pathlen_0
Vous pouvez utiliser le profil de certificat suivant pour configurer une autorité de certification pouvant émettre des certificats d'entité finale utilisables pour S/MIME. Ce profil de certificat comporte une restriction de longueur de chemin d'accès qui n'autorise pas d'autres autorités de certification subordonnées. Ces valeurs sont adaptées à une autorité de certification subordonnée, mais elles peuvent également être utilisées pour une autorité de certification autosignée qui émet directement des certificats d'entité finale.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME d'entité finale
Accessible en tant que: leaf_smime
Vous pouvez utiliser le profil de certificat suivant pour configurer des certificats d'entité finale compatibles avec S/MIME. S/MIME est souvent utilisé pour assurer l'intégrité ou le chiffrement de bout en bout des e-mails.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false
Étape suivante
- En savoir plus sur les modèles de certificats
- En savoir plus sur les commandes de règles
- En savoir plus sur l'utilisation d'une règle d'émission