Présentation des contrôles des règles

Les contrôles de stratégie appliquent des normes pour le fonctionnement de l'autorité de certification (AC) et des certificats qu'elle délivre. Les contrôles de stratégie sont les règles et les restrictions que vous mettez en place pour définir comment la CA émet des certificats, les paramètres pouvant être inclus dans une requête et les valeurs acceptées. Dans Certificate Authority Service, il existe deux types de contrôles de règles:

  • Stratégies à grain fin telles que les règles d'émission de certificats : les règles d'émission de certificats s'appliquent à l'ensemble du pool d'autorités de certification et définissent des contraintes de haut niveau telles que les types de clés autorisés, les durées de validité des certificats autorisées, ainsi que les contraintes liées à l'objet et à l'autre nom d'objet (SAN).

  • Des règles précises telles que les modèles de certificats : les modèles de certificats vous permettent de définir les types de certificats pouvant être émis et les personnes autorisées à les émettre, ce qui empêche toute utilisation abusive et garantit la sécurité. Les modèles de certificats offrent un contrôle plus précis en vous permettant de définir différents types de certificats à des fins différentes. Par exemple, vous pouvez créer des modèles de certificats pour des cas d'utilisation spécifiques, tels que les certificats TLS pour les serveurs Web et les certificats de signature de code pour les développeurs. Vous pouvez également créer des modèles pour différents services ou équipes, ce qui permet à chaque équipe de demander des certificats avec les autorisations spécifiques dont elle a besoin.

En plus des règles d'émission de certificats et des modèles de certificats, vous pouvez également appliquer des contrôles de stratégie spécifiques, tels que des contraintes de nom, pour empêcher une autorité de certification d'émettre des certificats pour des domaines ou des entités non autorisés.

À propos des règles d'émission de certificats

Une règle d'émission de certificats définit des contrôles sur toutes les émissions de certificats dans un pool d'autorités de certification. Un gestionnaire d'autorités de certification peut associer une règle d'émission de certificats à un pool d'autorités de certification pour définir des restrictions sur le type de certificats que les autorités de certification du pool peuvent émettre. Les règles d'émission de certificats vous permettent d'effectuer les opérations suivantes:

  • Ajoutez des contraintes sur l'objet et les SAN autorisés qui peuvent être demandés. Cela valide qui ou quoi peut être identifié dans le certificat, par exemple en n'autorisant que les certificats pour le domaine de votre entreprise.
  • Définissez des restrictions sur les identités de certificat, la durée de vie des certificats, les types de clés et les modes de demande de certificat.
  • Ajoutez des extensions X.509 spécifiques à tous les certificats émis.

Nous vous recommandons d'utiliser une stratégie d'émission de certificats lorsque l'un ou les deux scénarios suivants s'appliquent à vous:

  1. Votre pool d'autorités de certification est conçu pour émettre des certificats selon un profil unique et bien défini. Par exemple, vous disposez d'un pool d'autorités de certification dédié qui n'émet des certificats que pour les serveurs Web internes de votre entreprise. Ces certificats ont tous besoin des mêmes paramètres de base.

    • Tous les certificats émis contiennent O=My organization dans leur objet.
    • Tous les noms DNS se terminent par .cymbalgroup.com.
    • Elles sont valables un an.

    Une stratégie d'émission de certificats applique ces règles et garantit que chaque certificat émis à partir de ce pool d'autorités de certification respecte ce profil.

  2. Vous souhaitez définir une référence commune pour les extensions X.509 et les restrictions supplémentaires qui s'appliquent à tous les profils d'émission de certificats. Par exemple, vous disposez de différents types de certificats, tels que des certificats de signature d'e-mails des employés (valides deux ans) et des certificats TLS pour les sites Web publics (valides un an). Vous pouvez définir une règle d'émission de référence qui s'applique à tous les certificats:

    • Tous les certificats doivent inclure le nom de l'entreprise dans l'objet.
    • Ils doivent tous utiliser un ensemble spécifique d'extensions X.509 pour les normes de sécurité de votre organisation.

    Vous pouvez ensuite utiliser des modèles de certificats pour définir les variations spécifiques de chaque type de certificat en plus de cette référence.

Pour en savoir plus sur l'ajout d'une stratégie d'émission de certificats, consultez la section Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.

À propos des modèles de certificats

Un modèle de certificat représente un schéma d'émission de certificats relativement statique et bien défini au sein d'une organisation. En utilisant des modèles de certificat, les certificats émis à partir de différents pools d'autorités de certification partagent le même format et les mêmes propriétés, quelle que soit l'autorité de certification émettrice. La ressource CertificateTemplate inclut les éléments suivants:

  • Expression Common Expression Language (CEL) évaluée par rapport à l'objet et aux SAN demandés dans toutes les requêtes de certificat qui utilisent le modèle. Pour en savoir plus sur l'utilisation du langage CEL, consultez Utiliser le langage CEL.
  • Une liste d'autorisation indiquant si l'objet ou l'autre nom de l'objet peut être copié de la demande de l'utilisateur final vers le certificat émis.
  • Liste d'autorisation facultative spécifiant les extensions X.509, le cas échéant, qui peuvent être copiées à partir de la requête de l'utilisateur final vers le certificat émis.
  • Ensemble facultatif de valeurs d'extension X.509 ajoutées à tous les certificats émis qui utilisent le modèle.

Un modèle de certificat peut devenir un framework d'émission de certificats vertical complet. Pour en savoir plus, consultez la définition complète du message CertificateTemplate.

Vous pouvez utiliser un modèle de certificat lorsque vous disposez d'un scénario d'émission de certificat bien défini. Vous pouvez utiliser des modèles de certificats pour assurer la cohérence entre les certificats émis à partir de différents pools d'autorités de certification. Vous pouvez également utiliser un modèle de certificat pour limiter les types de certificats que différentes personnes peuvent émettre.

Vous pouvez également combiner des modèles de certificats et des liaisons de rôles conditionnelles IAM (Identity and Access Management) pour définir des contraintes qui s'appliquent aux requêtes de certificats effectuées par des comptes de service spécifiques. Par exemple, vous pouvez créer un modèle de certificat qui n'autorise que les noms DNS se terminant par .altostrat.com. Vous pouvez ensuite ajouter un lien de rôle conditionnel pour accorder au compte de service my-service-account@my-project.iam.gserviceaccount.com l'autorisation d'utiliser uniquement ce modèle lorsque vous demandez des certificats à un pool d'autorités de certification spécifique. Cela limite le compte de service à l'émission de certificats avec cette restriction SAN spécifique.

Pour savoir comment créer des modèles de certificat, consultez Créer un modèle de certificat.

Contraintes de nom des certificats CA

CA Service applique les contraintes de nom dans les certificats d'autorité de certification, comme défini dans la section Name Constraints (Contraintes de nom) du document RFC 5280. Les contraintes de nom vous permettent de contrôler les noms autorisés ou exclus dans les certificats émis par les autorités de certification.

Les contraintes de nom sont implémentées à l'aide de l'extension Name Constraints dans les certificats X.509. Cette extension vous permet de spécifier des espaces de noms autorisés et exclus pour diverses formes de noms, telles que des noms DNS, des adresses IP, des adresses e-mail et des URL.

Par exemple, vous pouvez créer une autorité de certification avec des contraintes de nom pour appliquer les conditions suivantes:

  • Seuls myownpersonaldomain.com et ses sous-domaines peuvent être utilisés comme noms DNS.
  • examplepetstore.com et ses sous-domaines ne sont pas autorisés en tant que noms DNS.

Les contraintes de nom sont définies dans le certificat de l'autorité de certification. Cela signifie que tous les certificats émis par cette autorité de certification sont soumis à ces contraintes. Lorsqu'une autorité de certification émet un certificat, elle vérifie le nom d'objet demandé et les autres noms d'objet de remplacement (SAN) par rapport aux contraintes de nom définies. Si un nom ne respecte pas les contraintes, l'émission du certificat est refusée.

Vous ne pouvez spécifier des contraintes de nom qu'au moment de la création de l'autorité de certification.

Avantages de l'utilisation des commandes de stratégie

Les contrôles de stratégie vous aident à effectuer les opérations suivantes:

  • Améliorez la sécurité en limitant les types de certificats pouvant être émis et en réduisant le risque de création et d'utilisation abusive de certificats non autorisés.
  • Respectez les exigences réglementaires et les bonnes pratiques du secteur en matière de gestion des certificats.
  • Réduire l'effort manuel et les erreurs potentielles Les modèles de certificats facilitent l'émission de certificats de manière cohérente et efficace.
  • Établissez la confiance, car des règles clairement définies et des contrôles stricts renforcent la confiance dans les certificats que vous délivrez.

Appliquer les contrôles de règles

Lorsqu'un utilisateur demande un certificat, CA Service évalue ces contrôles de stratégie aux niveaux suivants:

  1. Autorisations IAM (Identity and Access Management) : le service vérifie d'abord si la personne à l'origine de la demande dispose des autorisations IAM nécessaires pour créer des certificats ou utiliser le modèle de certificat spécifié. Ainsi, seuls les utilisateurs autorisés peuvent obtenir des certificats.

  2. Règle d'émission de certificat: le service valide ensuite la demande de certificat par rapport à la règle d'émission du pool d'autorités de certification. Cela garantit que la demande répond aux exigences générales concernant les certificats émis par cette autorité de certification.

  3. Modèle de certificat: si un modèle est utilisé, la requête est validée en fonction des contraintes spécifiques du modèle. Cela garantit que le certificat est adapté à l'utilisation prévue.

Les extensions X.509 de la règle d'émission de certificats du pool d'autorités de certification et du modèle de certificat sont ajoutées au certificat, et certaines valeurs sont supprimées en fonction de ces mêmes règles. Avant de signer le certificat, les contraintes de nom dans les certificats d'autorité de certification sont validées par rapport au certificat pour s'assurer que le sujet est conforme.

Conflits de règles

Lorsque vous utilisez conjointement différents mécanismes de contrôle des règles, il est possible que des règles de différents niveaux soient en conflit. Par exemple, un modèle de certificat peut autoriser un type de clé (comme ECDSA) que la stratégie d'émission du pool d'autorités de certification interdit. Le modèle de certificat et la règle d'émission peuvent également spécifier des valeurs différentes pour la même extension X.509.

Pour savoir comment gérer les conflits de règles dans Certificate Authority Service, consultez la section À propos des conflits de règles.

Étape suivante