Présentation des modèles de certificat et des règles d'émission

Cette page présente la mise en œuvre de contrôles de stratégie dans Certificate Authority Service à l'aide de modèles de certificat, de règles d'émission et de contraintes de nom de certificat.

Les contrôles des règles vous permettent de contrôler le type de certificats que votre pool d'autorités de certification peut émettre. Il existe deux types de contrôles des règles: peu précis et précis. Les règles sommaires appliquent les contraintes propres au pool d'autorités de certification. Les règles précises déterminent les opérations qu'un utilisateur spécifique peut effectuer sur un pool d'autorités de certification.

Modèles de certificats

Vous pouvez utiliser un modèle de certificat lorsque vous disposez d'un scénario d'émission de certificats bien défini. Vous pouvez utiliser des modèles de certificat pour assurer la cohérence entre les certificats émis à partir de différents pools d'autorités de certification. Vous pouvez également utiliser un modèle de certificat pour limiter les types de certificats que différents individus peuvent émettre.

Pour en savoir plus sur les modèles de certificat, consultez Créer un modèle de certificat.

Stratégies d'émission de certificats

Un gestionnaire d'autorités de certification peut associer une stratégie d'émission de certificats à un pool d'autorités de certification pour définir des restrictions sur le type de certificats que les autorités de certification du pool peuvent émettre. Une stratégie d'émission peut définir des restrictions sur les identités de certificat, la durée de vie des certificats, les types de clés, les modes de demande de certificat et les extensions X.509. La stratégie d'émission peut également contenir un ensemble d'extensions X.509 appliquées à toutes les requêtes de certificat entrantes.

Les règles d'émission vous permettent d'appliquer certaines restrictions à l'ensemble du pool d'autorités de certification. Par exemple, vous pouvez utiliser une règle d'émission pour appliquer les conditions suivantes:

  • L'objet de tous les certificats émis comporte O=My organization.
  • Tous les noms DNS se terminent par .my-org-domain.com.
  • Le pool d'autorités de certification ne peut émettre que des certificats TLS de serveur.

Si l'un des cas suivants ou les deux s'appliquent, nous vous recommandons d'utiliser une stratégie d'émission de certificats:

  1. Votre pool d'autorités de certification est destiné à émettre des certificats selon un profil unique et bien défini.
  2. Vous souhaitez définir une référence commune pour les extensions X.509 et des restrictions supplémentaires qui s'appliquent à tous les profils d'émission de certificats.

Pour en savoir plus sur les règles d'émission, consultez Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.

Contraintes liées aux noms des certificats CA

Les CAS appliquent des contraintes de nom dans les certificats CA, comme défini dans la section Contraintes de nom RFC 5280. Il vous permet de contrôler les noms autorisés ou exclus dans les certificats émis par des autorités de certification.

Par exemple, vous pouvez créer une autorité de certification avec des contraintes de nom pour appliquer les conditions suivantes:

  • Seuls my-org-domain.com et ses sous-domaines peuvent être utilisés comme noms DNS.
  • untrusted-domain.com et ses sous-domaines ne sont pas autorisés en tant que noms DNS.

Les contraintes de nom concernent les certificats CA. Ils ne peuvent être spécifiés qu'au moment de la création de l'autorité de certification et ne peuvent pas être mis à jour ultérieurement.

Conflits de règles

Lorsque vous utilisez différents mécanismes de contrôle des règles, il est possible que des règles à différents niveaux puissent entrer en conflit. Cette section décrit comment les contrôles des règles sont appliqués et fournit des conseils pour éviter les conflits de règles.

Application des règles

Lorsque vous demandez des certificats, les contrôles des règles sont évalués sur différentes couches.

Les liaisons conditionnelles IAM pour les attributs de requête sont d'abord évaluées pour s'assurer que l'appelant dispose des autorisations requises pour créer des certificats ou utiliser des modèles de certificat.

Lors de la création du certificat, le pool d'autorités de certification et la stratégie d'émission du modèle de certificat sont validés par rapport à la demande de certificat normalisée. Les extensions X.509 de la stratégie d'émission de certificats du pool d'autorités de certification et du modèle de certificat sont ajoutées au certificat, et certaines valeurs peuvent être supprimées en fonction de ces mêmes stratégies.

Avant de signer le certificat, les contraintes de nom dans les certificats CA sont validées par rapport au certificat afin de garantir la conformité de l'objet.

Conflits de règles d'émission

La liste non exhaustive ci-dessous répertorie les erreurs où la stratégie d'émission d'un modèle de certificat peut entrer en conflit avec la stratégie d'émission d'un pool d'autorités de certification.

  • Un modèle de certificat contient des valeurs prédéfinies qui sont interdites par le pool d'autorités de certification.
  • Un modèle de certificat contient des valeurs X.509 différentes des valeurs de référence du pool d'autorités de certification.

Dans tous ces cas, l'API renvoie une erreur d'argument non valide.

Conflits de CEL

Le CEL permet d'implémenter diverses expressions. Il peut arriver que les expressions CEL de la stratégie d'émission du pool d'autorités de certification et du modèle de certificat soient en conflit. Ces conflits empêchent l'émission de certificats à partir du pool d'autorités de certification. Prenons l'exemple d'un pool d'autorités de certification qui disposait d'une expression CEL qui obligeait le nom commun d'un certificat à se terminer par .example.com, et que le modèle de certificat comportait une expression CEL appliquant le nom commun d'un certificat se terminant par .example.net. Étant donné que ces deux expressions CEL appliquent des restrictions différentes sur le même champ, toutes les requêtes d'émission de certificats échouent.

Si vous utilisez à la fois des stratégies d'émission de certificats et des modèles de certificat, nous vous recommandons de vous assurer que leurs expressions CEL n'entrent pas en conflit.

Étapes suivantes