本頁面由 Cloud Translation API 翻譯而成。

憑證設定檔

本主題提供可用於各種憑證核發情境的憑證設定檔。使用 Google Cloud CLI 或 Google Cloud 控制台建立憑證或憑證授權單位 (CA) 時，可以參照這些憑證設定檔。

使用本文中指定的 gcloud 參照和 --use-preset-profile 標記，即可運用符合需求的憑證設定檔。

非強制性

無限制的憑證設定檔不會新增任何限制。

根未受限

可存取為：root_unconstrained

下列憑證設定檔既沒有擴充金鑰使用方式，也沒有路徑長度限制。

這個 CA 可以核發任何類型的憑證，包括從屬 CA。這些值適用於自行簽署的根 CA，但您也可以用於不受限制的從屬 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true

路徑長度為零的無限制下屬

可存取為：subordinate_unconstrained_pathlen_0

您可以透過下列憑證設定檔設定沒有擴充金鑰使用方式 (EKU) 限制的 CA，但路徑長度限制不允許核發任何從屬 CA。這些值適用於核發終端實體憑證的 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

雙向傳輸層安全標準 (TLS)

相互傳輸層安全標準 (mTLS) 憑證可用於伺服器 TLS、用戶端 TLS 或相互 TLS 驗證。

從屬 mTLS

可存取為：subordinate_mtls_pathlen_0

您可以使用下列憑證設定檔設定 CA，核發可用於伺服器 TLS、用戶端 TLS 或雙向 TLS 驗證的實體憑證。這個憑證設定檔有路徑長度限制，不允許進一步的下層 CA。這些值適用於下層 CA，但也可以用於直接核發終端實體憑證的自行簽署 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

終端實體 mTLS

可存取為：leaf_mtls

您可以使用下列憑證設定檔，設定與用戶端 TLS、伺服器 TLS 或 mTLS 相容的實體憑證。例如 SPIFFE 憑證。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
    clientAuth: true
caOptions:
  isCa: false

用戶端傳輸層安全標準 (TLS)

用戶端 TLS 憑證用於驗證用戶端。

下層用戶端 TLS

可存取為：subordinate_client_tls_pathlen_0

您可以使用下列憑證設定檔設定 CA，該 CA 可核發適用於用戶端 TLS 的實體憑證。這個憑證設定檔有路徑長度限制，不允許進一步的下層 CA。這些值適用於下層 CA，但也可以用於直接核發終端實體憑證的自行簽署 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

實體用戶端傳輸層安全標準 (TLS)

可存取為：leaf_client_tls

您可以使用下列憑證設定檔，設定與用戶端 TLS 相容的終端實體憑證。舉例來說，用戶端向 TLS 防火牆驗證自身。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    clientAuth: true
caOptions:
  isCa: false

伺服器傳輸層安全標準 (TLS)

伺服器 TLS 憑證用於驗證伺服器。

下層伺服器 TLS

可存取為：subordinate_server_tls_pathlen_0

您可以使用下列憑證設定檔設定 CA，該 CA 可核發適用於伺服器 TLS 的終端實體憑證。這個憑證設定檔有路徑長度限制，不允許進一步的下層 CA。這些值適用於下層 CA，但也可以用於直接核發終端實體憑證的自行簽署 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

終端實體伺服器 TLS

可存取為：leaf_server_tls

您可以使用下列憑證設定檔，設定與伺服器 TLS 相容的實體憑證。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    keyEncipherment: true
  extendedKeyUsage:
    serverAuth: true
caOptions:
  isCa: false

程式碼簽署

數位簽章用於程式碼驗證。

下層程式碼簽署

可存取為：subordinate_code_signing_pathlen_0

您可以使用下列憑證設定檔，設定可核發可用於程式碼簽署的實體憑證的 CA。這個憑證設定檔有路徑長度限制，不允許進一步的下層 CA。這些值適用於從屬 CA，但也可以用於直接核發終端實體憑證的自簽 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

終端實體程式碼簽署

可存取為：leaf_code_signing

您可以使用下列憑證設定檔，設定與程式碼簽署相容的實體憑證。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    codeSigning: true
caOptions:
  isCa: false

S/MIME

S/MIME 是一種電子郵件簽署通訊協定，有助於提升電子郵件安全性。

從屬 S/MIME

可存取為：subordinate_smime_pathlen_0

您可以使用下列憑證設定檔設定 CA，以便核發可用於 S/MIME 的實體憑證。這個憑證設定檔有路徑長度限制，不允許進一步的下層 CA。這些值適用於下層 CA，但也可以用於直接核發終端實體憑證的自行簽署 CA。

keyUsage:
  baseKeyUsage:
    certSign: true
    crlSign: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: true
  maxIssuerPathLength: 0

實體 S/MIME

可存取為：leaf_smime

您可以使用下列憑證設定檔，設定與 S/MIME 相容的實體憑證。S/MIME 通常用於確保電子郵件的端對端完整性或加密。

keyUsage:
  baseKeyUsage:
    digitalSignature: true
    contentCommitment: true
  extendedKeyUsage:
    emailProtection: true
caOptions:
  isCa: false

後續步驟

進一步瞭解認證範本。
進一步瞭解政策控管。
進一步瞭解如何使用發行政策。