פרופילי אישורים
במאמר הזה מפורטים פרופילי אישורים שבהם אפשר להשתמש בתרחישים שונים של הנפקת אישורים. אפשר להפנות לפרופילי האישורים האלה כשיוצרים אישור או רשות אישורים (CA) באמצעות Google Cloud CLI או מסוף Google Cloud .
כדי להשתמש בפרופיל האישור שמתאים לצרכים שלכם, צריך להשתמש בהפניות gcloud שמופיעות במסמך הזה יחד עם הדגל --use-preset-profile.
ללא הגבלה
פרופילי אישורים ללא הגבלות לא מוסיפים הגבלות או מגבלות.
שורש ללא הגבלה
נגישות כ: root_unconstrained
לפרופיל האישור הבא אין שימוש במפתח מורחב ואין אילוצים לגבי אורך הנתיב.
רשות האישורים הזו יכולה להנפיק כל סוג של אישור, כולל רשויות אישורים משניות. הערכים האלה מתאימים ל-CA בסיסי בחתימה עצמית, אבל אפשר להשתמש בהם גם ל-CA משני לא מוגבל.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
Subordinate unconstrained with path length of zero
נגישות כ: subordinate_unconstrained_pathlen_0
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר רשות אישורים (CA) שאין לה מגבלות על שימוש במפתח מורחב (EKU), אבל יש לה הגבלה על אורך הנתיב שלא מאפשרת הנפקה של רשויות אישורים משניות. הערכים האלה מתאימים לרשויות אישורים שמנפיקות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS הדדי
אפשר להשתמש באישור הדדי של Transport Layer Security (mTLS) לאימות של שרת TLS, לקוח TLS או mTLS.
mTLS משני
נגישות כ: subordinate_mtls_pathlen_0
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר רשות אישורים שיכולה להנפיק אישורי ישות קצה שניתן להשתמש בהם לאימות שרת TLS, לקוח TLS או TLS בו-זמני (mTLS). בפרופיל האישור הזה יש הגבלה על אורך הנתיב שלא מאפשרת להוסיף רשויות אישורים משניות נוספות. הערכים האלה מתאימים ל-CA משני, אבל אפשר להשתמש בהם גם ל-CA עם חתימה עצמית שמנפיק ישירות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
mTLS של ישות קצה
נגישות כ: leaf_mtls
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר אישורים של ישויות קצה שתואמים ל-TLS של לקוח, ל-TLS של שרת או ל-mTLS. לדוגמה, אישורי SPIFFE.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
clientAuth: true
caOptions:
isCa: false
TLS בצד הלקוח
אישורי לקוח של TLS משמשים לאימות לקוח.
TLS של לקוח משני
נגישות כ: subordinate_client_tls_pathlen_0
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר רשות אישורים (CA) שיכולה להנפיק אישורי ישות קצה שניתן להשתמש בהם עבור TLS של לקוח. בפרופיל האישור הזה יש הגבלה על אורך הנתיב שלא מאפשרת להוסיף רשויות אישורים משניות נוספות. הערכים האלה מתאימים ל-CA משני, אבל אפשר להשתמש בהם גם ל-CA עם חתימה עצמית שמנפיק ישירות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS (אבטחת שכבת התעבורה) של לקוח ישות קצה
נגישות כ: leaf_client_tls
אפשר להשתמש בפרופיל האישורים הבא כדי להגדיר אישורים של ישויות קצה שתואמים ל-TLS של הלקוח. לדוגמה, לקוח שמבצע אימות עצמי בפני חומת אש של TLS.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
clientAuth: true
caOptions:
isCa: false
TLS של השרת
אישורים לשרתי TLS משמשים לאימות שרת.
TLS בשרת משני
נגישות כ: subordinate_server_tls_pathlen_0
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר CA שיכול להנפיק אישורים של ישויות קצה שאפשר להשתמש בהם עבור TLS של שרת. בפרופיל האישור הזה יש הגבלה על אורך הנתיב שלא מאפשרת להוסיף רשויות אישורים משניות נוספות. הערכים האלה מתאימים ל-CA משני, אבל אפשר להשתמש בהם גם ל-CA עם חתימה עצמית שמנפיק ישירות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: true
maxIssuerPathLength: 0
TLS של שרת ישות קצה
נגישות כ: leaf_server_tls
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר אישורים של ישויות קצה שתואמים ל-TLS של השרת.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
חתימת קוד
חתימות דיגיטליות משמשות לאימות קוד.
חתימת קוד משני
נגישות כ: subordinate_code_signing_pathlen_0
אתם יכולים להשתמש בפרופיל האישור הבא כדי להגדיר רשות אישורים (CA) שיכולה להנפיק אישורים של ישויות קצה שניתן להשתמש בהם לחתימת קוד. בפרופיל האישור הזה יש הגבלה על אורך הנתיב שלא מאפשרת להוסיף רשויות אישורים משניות נוספות. הערכים האלה מתאימים לרשות אישורים משנית, אבל הם יכולים להתאים גם לרשות אישורים בחתימה עצמית שמנפיקה ישירות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: true
maxIssuerPathLength: 0
חתימת קוד של ישות קצה
נגישות כ: leaf_code_signing
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר אישורים של ישויות קצה שתואמים לחתימת קוד.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
codeSigning: true
caOptions:
isCa: false
S/MIME
פרוטוקול S/MIME משמש לחתימה על הודעות אימייל כדי לשפר את האבטחה שלהן.
S/MIME משני
נגישות כ: subordinate_smime_pathlen_0
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר רשות אישורים שיכולה להנפיק אישורים של ישויות קצה שניתן להשתמש בהם ב-S/MIME. בפרופיל האישור הזה יש הגבלה על אורך הנתיב שלא מאפשרת להוסיף רשויות אישורים משניות נוספות. הערכים האלה מתאימים ל-CA משני, אבל אפשר להשתמש בהם גם ל-CA עם חתימה עצמית שמנפיק ישירות אישורים של ישויות קצה.
keyUsage:
baseKeyUsage:
certSign: true
crlSign: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: true
maxIssuerPathLength: 0
S/MIME של ישות קצה
נגישות כ: leaf_smime
אתם יכולים להשתמש בפרופיל האישורים הבא כדי להגדיר אישורים של ישויות קצה שתואמים ל-S/MIME. בדרך כלל משתמשים ב-S/MIME כדי להצפין אימיילים מקצה לקצה או כדי לוודא שהם לא ישתנו.
keyUsage:
baseKeyUsage:
digitalSignature: true
contentCommitment: true
extendedKeyUsage:
emailProtection: true
caOptions:
isCa: false