Übersicht über Zertifikatsvorlagen und Ausstellungsrichtlinien

Diese Seite bietet einen Überblick über die Implementierung von Richtlinienkontrollen in Certificate Authority Service mithilfe von Zertifikatsvorlagen, Ausstellungsrichtlinien und Einschränkungen von Zertifikatsnamen.

Mit Richtlinienkontrollen können Sie steuern, welche Art von Zertifikaten Ihr CA-Pool ausstellen kann. Es gibt zwei Arten von Richtlinienkontrollen: grob und fein abgestimmt. Grob detaillierte Richtlinien wenden CA-Pool-spezifische Einschränkungen an. Mit detaillierten Richtlinien werden die Vorgänge festgelegt, die ein bestimmter Nutzer für einen Zertifizierungsstellenpool ausführen kann.

Zertifikatsvorlagen

Sie können eine Zertifikatsvorlage für ein klar definiertes Szenario einer Zertifikatsausstellung verwenden. Sie können Zertifikatsvorlagen verwenden, um die Konsistenz zwischen Zertifikaten zu aktivieren, die von verschiedenen CA-Pools ausgestellt werden. Sie können auch eine Zertifikatsvorlage verwenden, um die Arten von Zertifikaten einzuschränken, die verschiedene Personen ausstellen können.

Weitere Informationen zu Zertifikatsvorlagen finden Sie unter Zertifikatvorlage erstellen.

Richtlinien für die Zertifikatsausstellung

Ein CA-Manager kann eine Zertifikatsausstellungsrichtlinie an einen CA-Pool anhängen, um Einschränkungen für die Art von Zertifikaten zu definieren, die die CAs im CA-Pool ausstellen können. Eine Ausstellungsrichtlinie kann Einschränkungen für Zertifikatsidentitäten, Zertifikatslebensdauer, Schlüsseltypen, Modi für Zertifikatsanfragen und X.509-Erweiterungen definieren. Die Ausstellungsrichtlinie kann auch eine Reihe von X.509-Erweiterungen enthalten, die auf alle eingehenden Zertifikatsanfragen angewendet werden.

Mit Ausstellungsrichtlinien können Sie bestimmte Einschränkungen auf den gesamten CA-Pool anwenden. Mit einer Ausstellungsrichtlinie können Sie beispielsweise die folgenden Bedingungen erzwingen:

  • Alle ausgestellten Zertifikate haben O=My organization im Betreff.
  • Alle DNS-Namen enden auf .my-org-domain.com.
  • Der CA-Pool kann nur Server-TLS-Zertifikate ausstellen.

Wenn einer oder beide der folgenden Fälle zutreffen, empfehlen wir die Verwendung einer Richtlinie zur Zertifikatsausstellung:

  1. Ihr CA-Pool ist dafür vorgesehen, Zertifikate gemäß einem einzelnen, klar definierten Profil auszustellen.
  2. Sie möchten eine gemeinsame Referenz für X.509-Erweiterungen und zusätzliche Einschränkungen definieren, die für alle Zertifikatsausstellungsprofile gelten.

Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter Einem CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Einschränkungen für CA-Zertifikatnamen

CAS erzwingt Namenseinschränkungen in CA-Zertifikaten, wie im Abschnitt zu Namenseinschränkungen von RFC 5280 definiert. Damit können Sie steuern, welche Namen in von CAs ausgestellten Zertifikaten zugelassen oder ausgeschlossen werden.

Sie können beispielsweise eine Zertifizierungsstelle mit Namenseinschränkungen erstellen, um die folgenden Bedingungen zu erzwingen:

  • Nur my-org-domain.com und die zugehörigen Subdomains können als DNS-Namen verwendet werden.
  • untrusted-domain.com und die zugehörigen Subdomains sind als DNS-Namen nicht zulässig.

Namenseinschränkungen gelten für das CA-Zertifikat. Sie können nur während der CA-Erstellung angegeben und später nicht mehr aktualisiert werden.

Richtlinienkonflikte

Wenn Sie verschiedene Mechanismen zur Richtliniensteuerung zusammen verwenden, kann es zu Konflikten zwischen den Richtlinien auf verschiedenen Ebenen kommen. In diesem Abschnitt wird beschrieben, wie Richtlinienkontrollen erzwungen werden. Außerdem finden Sie Hinweise zur Vermeidung von Richtlinienkonflikten.

Durchsetzung der Richtlinien

Beim Anfordern von Zertifikaten werden Richtlinienkontrollen auf verschiedenen Ebenen ausgewertet.

Bedingte IAM-Bindungen für Anfrageattribute werden zuerst ausgewertet, um sicherzustellen, dass der Aufrufer die erforderlichen Berechtigungen zum Erstellen von Zertifikaten oder zum Verwenden von Zertifikatsvorlagen hat.

Während der Zertifikatserstellung werden der CA-Pool und die Ausstellungsrichtlinie der Zertifikatsvorlage anhand der normalisierten Zertifikatsanfrage validiert. X.509-Erweiterungen aus der Zertifikatsausstellungsrichtlinie des Zertifizierungsstellenpools und der Zertifikatsvorlage werden dem Zertifikat hinzugefügt. Bestimmte Werte können auf der Grundlage dieser Richtlinien gelöscht werden.

Vor dem Signieren des Zertifikats werden Namensbeschränkungen in CA-Zertifikaten anhand des Zertifikats validiert, um sicherzustellen, dass der Subjekt konform ist.

Konflikte bezüglich Ausstellungsrichtlinien

Im Folgenden finden Sie eine nicht umfassende Liste von Fehlern, bei denen die Ausstellungsrichtlinie einer Zertifikatsvorlage mit der Ausstellungsrichtlinie eines Zertifizierungsstellenpools in Konflikt stehen kann.

  • Eine Zertifikatsvorlage enthält vordefinierte Werte, die vom CA-Pool unzulässig sind.
  • Eine Zertifikatsvorlage enthält andere X.509-Werte als die Referenzwerte des Zertifizierungsstellenpools.

In allen diesen Fällen gibt die API einen Fehler wegen eines ungültigen Arguments zurück.

CEL-Konflikte

Mit CEL können verschiedene Ausdrücke implementiert werden. Es kann vorkommen, dass die CEL-Ausdrücke in der Ausstellungsrichtlinie des Zertifizierungsstellenpools und in der Zertifikatsvorlage in Konflikt stehen. Aufgrund dieser Konflikte können keine Zertifikate vom CA-Pool ausgestellt werden. Angenommen, ein CA-Pool hatte einen CEL-Ausdruck, der den allgemeinen Namen eines Zertifikats mit der Endung .example.com durchsetzte, und die Zertifikatsvorlage einen CEL-Ausdruck, der den allgemeinen Namen eines Zertifikats auf .example.net erzwingt. Da diese beiden CEL-Ausdrücke unterschiedliche Einschränkungen für dasselbe Feld festlegen, schlagen alle Anfragen zur Zertifikatsausstellung fehl.

Wenn Sie sowohl Richtlinien für die Zertifikatsausstellung als auch Zertifikatsvorlagen verwenden, sollten Sie darauf achten, dass die CEL-Ausdrücke nicht in Konflikt stehen.

Nächste Schritte