Questa pagina è stata tradotta dall'API Cloud Translation.

Profili dei certificati

Questo argomento fornisce profili di certificati che puoi utilizzare per vari scenari di rilascio dei certificati. Puoi fare riferimento a questi profili di certificato quando crei un certificato o un'autorità di certificazione (CA) utilizzando Google Cloud CLI o la console Google Cloud.

Utilizza i riferimenti gcloud specificati in questo documento insieme al flag --use-preset-profile per utilizzare il profilo del certificato più adatto alle tue esigenze.

Senza vincoli

I profili dei certificati senza vincoli non aggiungono vincoli o limitazioni.

Radice senza vincoli

Accessibile come: root_unconstrained

Il seguente profilo del certificato non ha utilizzi estesi della chiave né vincoli relativi alla lunghezza del percorso.

Questa CA può emettere qualsiasi tipo di certificato, incluse le CA subordinate. Questi valori sono appropriati per una CA radice autofirmata, ma puoi utilizzarli anche per una CA subordinata non vincolata.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinato senza vincoli con lunghezza del percorso pari a zero

Accessibile come: subordinate_unconstrained_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare una CA senza vincoli di utilizzo esteso della chiave (EKU), ma con una limitazione della lunghezza del percorso che non consente l'emissione di CA subordinate. Questi valori sono appropriati per le CA che emettono certificati dell'entità finale.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Mutual TLS

I certificati TLS reciproca (mTLS) possono essere utilizzati per l'autenticazione TLS del server, TLS del client o TLS reciproca.

mTLS secondario

Accessibile come: subordinate_mtls_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione in grado di emettere certificati dell'entità finale utilizzabili per l'autenticazione TLS del server, TLS del client o TLS reciproca. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS dell'entità finale

Accessibile come: leaf_mtls

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con TLS client, TLS server o mTLS. Ad esempio, i certificati SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS client

I certificati TLS client vengono utilizzati per autenticare un client.

TLS client secondario

Accessibile come: subordinate_client_tls_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione che possa emettere certificati delle entità finali utilizzabili per il TLS del client. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS client dell'entità finale

Accessibile come: leaf_client_tls

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con TLS client. Ad esempio, un client che si autentica su un firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS server

I certificati TLS del server vengono utilizzati per autenticare un server.

TLS del server secondario

Accessibile come: subordinate_server_tls_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione che possa emettere certificati dell'entità finale utilizzabili per TLS del server. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS del server dell'entità finale

Accessibile come: leaf_server_tls

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con TLS del server.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Firma del codice

Le firme digitali vengono utilizzate per l'autenticazione del codice.

Firma del codice secondaria

Accessibile come: subordinate_code_signing_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione che possa emettere certificati delle entità finali utilizzabili per la firma del codice. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Firma del codice dell'entità finale

Accessibile come: leaf_code_signing

Puoi utilizzare il seguente profilo del certificato per configurare certificati delle entità finali compatibili con la firma del codice.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME è un protocollo di firma delle email che contribuisce a migliorare la sicurezza delle email.

S/MIME subordinato

Accessibile come: subordinate_smime_pathlen_0

Puoi utilizzare il seguente profilo del certificato per configurare un'autorità di certificazione che possa emettere certificati delle entità finali utilizzabili per S/MIME. Questo profilo del certificato ha una limitazione della lunghezza del percorso che non consente ulteriori CA subordinate. Questi valori sono appropriati per una CA subordinata, ma possono essere utilizzati anche per una CA autofirmata che emette direttamente i certificati delle entità finali.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME della persona giuridica

Accessibile come: leaf_smime

Puoi utilizzare il seguente profilo del certificato per configurare i certificati delle entità finali compatibili con S/MIME. S/MIME viene spesso utilizzato per l'integrità o la crittografia end-to-end delle email.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

Passaggi successivi

Scopri di più sui modelli di certificati.
Scopri di più sui controlli delle norme.
Scopri di più sull'utilizzo di un criterio di emissione.