Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan template sertifikat dan kebijakan penerbitan

Halaman ini memberikan ringkasan tentang cara menerapkan kontrol kebijakan di Certificate Authority Service menggunakan template sertifikat, kebijakan penerbitan, dan batasan nama sertifikat.

Kontrol kebijakan memungkinkan Anda mengontrol jenis sertifikat yang dapat diterbitkan oleh kumpulan certificate authority (CA). Kontrol kebijakan terdiri dari dua jenis: kontrol yang bersifat kasar dan kontrol yang bersifat terperinci. Kebijakan terperinci menerapkan batasan khusus kumpulan CA. Kebijakan terperinci menentukan operasi yang dapat dilakukan pengguna tertentu pada kumpulan CA.

Template sertifikat

Anda dapat menggunakan template sertifikat jika memiliki skenario penerbitan sertifikat yang telah ditentukan dengan baik. Anda dapat menggunakan template sertifikat untuk memungkinkan konsistensi di seluruh sertifikat yang diterbitkan dari berbagai kumpulan CA. Anda juga dapat menggunakan template sertifikat untuk membatasi jenis sertifikat yang dapat diterbitkan oleh berbagai individu.

Untuk mengetahui informasi tentang template sertifikat, lihat Membuat template sertifikat.

Kebijakan penerbitan sertifikat

Pengelola CA dapat melampirkan kebijakan penerbitan sertifikat ke kumpulan CA untuk menentukan batasan jenis sertifikat yang dapat ditetapkan oleh CA dalam kumpulan CA. Kebijakan penerbitan dapat menentukan batasan pada identitas sertifikat, masa berlaku sertifikat, jenis kunci, mode permintaan sertifikat, dan ekstensi X.509. Kebijakan penerbitan juga dapat berisi serangkaian ekstensi X.509 yang diterapkan ke semua permintaan sertifikat yang masuk.

Kebijakan penerbitan memungkinkan Anda menerapkan batasan tertentu pada seluruh kumpulan CA. Misalnya, Anda dapat menggunakan kebijakan penerbitan untuk menerapkan kondisi berikut:

Semua sertifikat yang diterbitkan memiliki O=My organization dalam subjeknya.
Semua nama DNS diakhiri dengan .my-org-domain.com.
Kumpulan CA hanya dapat menerbitkan sertifikat TLS Server.

Jika salah satu atau kedua kasus berikut berlaku, sebaiknya gunakan kebijakan pemberian sertifikat:

Kumpulan CA Anda dimaksudkan untuk menerbitkan sertifikat sesuai dengan satu profil yang ditentukan dengan baik.
Anda ingin menentukan dasar pengukuran umum untuk ekstensi X.509 dan batasan tambahan yang berlaku untuk semua profil penerbitan sertifikat.

Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

Kendala nama sertifikat CA

CAS menerapkan batasan nama dalam sertifikat CA seperti yang ditentukan dalam bagian batasan nama RFC 5280. Dengan begitu, Anda dapat mengontrol nama yang diizinkan atau dikecualikan dalam sertifikat yang dikeluarkan dari CA.

Misalnya, Anda dapat membuat CA dengan batasan nama untuk menerapkan kondisi berikut:

Hanya my-org-domain.com dan subdomainnya yang dapat digunakan sebagai nama DNS.
untrusted-domain.com dan subdomainnya dilarang sebagai nama DNS.

Batasan nama adalah untuk sertifikat CA. Nilai ini hanya dapat ditentukan selama pembuatan CA dan tidak dapat diperbarui nanti.

Konflik kebijakan

Saat menggunakan mekanisme kontrol kebijakan yang berbeda secara bersamaan, ada kemungkinan bahwa kebijakan di tingkat yang berbeda dapat bertentangan. Bagian ini menjelaskan cara kontrol kebijakan diterapkan dan memberikan panduan untuk menghindari konflik kebijakan.

Penegakan kebijakan

Saat meminta sertifikat, kontrol kebijakan dievaluasi di berbagai lapisan.

Binding kondisional IAM untuk atribut permintaan dievaluasi terlebih dahulu untuk memastikan pemanggil memiliki izin yang diperlukan untuk membuat sertifikat atau menggunakan template sertifikat.

Selama pembuatan sertifikat, kumpulan CA dan kebijakan penerbitan template sertifikat divalidasi berdasarkan permintaan sertifikat yang dinormalisasi. Ekstensi X.509 dari kebijakan penerbitan sertifikat dan template sertifikat kumpulan CA ditambahkan ke sertifikat, dan nilai tertentu dapat dihapus berdasarkan kebijakan yang sama.

Sebelum menandatangani sertifikat, batasan nama dalam sertifikat CA divalidasi terhadap sertifikat untuk memastikan subjek mematuhinya.

Konflik kebijakan penerbitan

Berikut adalah daftar error yang tidak komprehensif saat kebijakan penerbitan template sertifikat dapat bertentangan dengan kebijakan penerbitan kumpulan CA.

Template sertifikat berisi nilai standar yang dilarang oleh kumpulan CA.
Template sertifikat berisi nilai X.509 yang berbeda dari nilai dasar pengukuran kumpulan CA.

Dalam semua kasus ini, API akan menampilkan error argumen yang tidak valid.

Konflik CEL

CEL menyediakan kemampuan untuk menerapkan berbagai ekspresi. Mungkin ada situasi saat ekspresi CEL pada kebijakan penerbitan kumpulan CA dan pada template sertifikat bertentangan. Konflik ini tidak mengizinkan sertifikat diterbitkan dari kumpulan CA. Misalnya, pertimbangkan situasi saat kumpulan CA memiliki ekspresi CEL yang menerapkan nama umum sertifikat agar diakhiri dengan .example.com dan template sertifikat memiliki ekspresi CEL yang menerapkan nama umum sertifikat agar diakhiri dengan .example.net. Karena kedua ekspresi CEL ini menempatkan batasan yang berbeda pada kolom yang sama, semua permintaan penerbitan sertifikat akan gagal.

Jika Anda menggunakan kebijakan penerbitan sertifikat dan template sertifikat, sebaiknya pastikan ekspresi CEL-nya tidak bertentangan.

Langkah selanjutnya

Pelajari cara menggunakan Common Expression Language (CEL).