Esta página foi traduzida pela API Cloud Translation.

Perfis de certificados

Este tópico fornece perfis de certificados que pode usar para vários cenários de emissão de certificados. Pode consultar estes perfis de certificados quando criar um certificado ou uma autoridade de certificação (AC) através da Google Cloud CLI ou da Google Cloud consola.

Use as referências gcloud especificadas neste documento juntamente com a flag --use-preset-profile para usar o perfil de certificado que se adequa às suas necessidades.

Sem restrições

Os perfis de certificados sem restrições não adicionam restrições nem limites.

Raiz sem restrições

Acessível como: root_unconstrained

O seguinte perfil de certificado não tem utilização alargada da chave nem restrições de comprimento do caminho.

Esta AC pode emitir qualquer tipo de certificado, incluindo ACs subordinadas. Estes valores são adequados para uma CA de raiz autoassinada, mas também os pode usar para uma CA subordinada não restrita.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

Subordinado não restrito com comprimento do caminho de zero

Acessível como: subordinate_unconstrained_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que não tenha restrições de utilização de chaves alargadas (EKU), mas que tenha uma restrição de comprimento do caminho que não permita a emissão de ACs subordinadas. Estes valores são adequados para ACs que emitem certificados de entidade.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS mútuo

Os certificados de Transport Layer Security (mTLS) mútuo podem ser usados para autenticação de TLS do servidor, TLS do cliente ou TLS mútuo.

mTLS subordinado

Acessível como: subordinate_mtls_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que possa emitir certificados de entidade final utilizáveis para autenticação TLS do servidor, TLS do cliente ou TLS mútuo. Este perfil de certificado tem uma restrição de comprimento do caminho que não permite mais ACs subordinadas. Estes valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

mTLS de entidade

Acessível como: leaf_mtls

Pode usar o seguinte perfil de certificado para configurar certificados de entidade final compatíveis com TLS de cliente, TLS de servidor ou mTLS. Por exemplo, certificados SPIFFE.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

TLS do cliente

Os certificados TLS de cliente são usados para autenticar um cliente.

TLS de cliente subordinado

Acessível como: subordinate_client_tls_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS de cliente. Este perfil de certificado tem uma restrição de comprimento do caminho que não permite mais ACs subordinadas. Estes valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS de cliente de entidade

Acessível como: leaf_client_tls

Pode usar o seguinte perfil de certificado para configurar certificados de entidade final compatíveis com o TLS do cliente. Por exemplo, um cliente a autenticar-se numa firewall TLS.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

TLS do servidor

Os certificados TLS do servidor são usados para autenticar um servidor.

TLS do servidor subordinado

Acessível como: subordinate_server_tls_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que possa emitir certificados de entidade final utilizáveis para TLS do servidor. Este perfil de certificado tem uma restrição de comprimento do caminho que não permite mais ACs subordinadas. Estes valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

TLS de servidor de entidade final

Acessível como: leaf_server_tls

Pode usar o seguinte perfil de certificado para configurar certificados de entidade final compatíveis com o TLS do servidor.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

Assinatura de código

As assinaturas digitais são usadas para a autenticação de código.

Assinatura de código subordinada

Acessível como: subordinate_code_signing_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que possa emitir certificados de entidade final utilizáveis para assinatura de código. Este perfil de certificado tem uma restrição de comprimento do caminho que não permite mais ACs subordinadas. Estes valores são adequados para uma AC subordinada, mas também podem funcionar para uma AC autoassinada que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

Assinatura de código de entidade

Acessível como: leaf_code_signing

Pode usar o seguinte perfil de certificado para configurar certificados de entidade final compatíveis com a assinatura de código.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

O S/MIME é um protocolo de assinatura de email que ajuda a melhorar a segurança do email.

S/MIME subordinado

Acessível como: subordinate_smime_pathlen_0

Pode usar o seguinte perfil de certificado para configurar uma AC que possa emitir certificados de entidade final utilizáveis para S/MIME. Este perfil de certificado tem uma restrição de comprimento do caminho que não permite mais ACs subordinadas. Estes valores são adequados para uma AC subordinada, mas também podem ser usados para uma AC autoassinada que emite diretamente certificados de entidade final.

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

S/MIME de entidade final

Acessível como: leaf_smime

Pode usar o seguinte perfil de certificado para configurar certificados de entidade final compatíveis com S/MIME. O S/MIME é frequentemente utilizado para a encriptação ou a integridade de emails ponto a ponto.

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

O que se segue?

Saiba mais acerca dos modelos de certificados.
Saiba mais acerca dos controlos de políticas.
Saiba mais sobre a utilização de uma política de emissão.