Esta página foi traduzida pela API Cloud Translation.

Visão geral dos modelos de certificado e políticas de emissão

Esta página oferece uma visão geral da implementação de controles de política no Certificate Authority Service usando modelos de certificado, políticas de emissão e restrições de nome de certificado.

Os controles de política permitem que você controle o tipo de certificados que o pool da sua autoridade certificadora (AC) pode emitir. Há dois tipos de controles de política: grosseiros e refinados. As políticas de granularidade grosseira aplicam restrições específicas do pool de ACs. As políticas detalhadas determinam as operações que um usuário específico pode realizar em um pool de AC.

Modelos de certificado

É possível usar um modelo de certificado quando você tem um cenário de emissão de certificados bem definido. É possível usar modelos de certificado para permitir a consistência entre certificados emitidos de diferentes pools de AC. Você também pode usar um modelo de certificado para restringir os tipos de certificados que diferentes pessoas podem emitir.

Para saber mais sobre modelos de certificado, consulte Criar um modelo de certificado.

Políticas de emissão de certificados

Um administrador de AC pode anexar uma política de emissão de certificados a um pool de ACs para definir restrições ao tipo de certificados que as ACs no pool podem emitir. Uma política de emissão pode definir restrições em identidades de certificado, tempo de validade de certificado, tipos de chave, modos de solicitação de certificado e extensões X.509. A política de emissão também pode conter um conjunto de extensões X.509 que são aplicadas a todas as solicitações de certificado recebidas.

As políticas de emissão permitem aplicar determinadas restrições a todo o pool de ACs. Por exemplo, é possível usar uma política de emissão para aplicar as seguintes condições:

Todos os certificados emitidos têm O=My organization no assunto.
Todos os nomes de DNS terminam com .my-org-domain.com.
O pool de ACs só pode emitir certificados TLS de servidor.

Se um ou ambos os casos a seguir se aplicarem, recomendamos usar uma política de emissão de certificados:

O pool de ACs tem como objetivo emitir certificados de acordo com um perfil único e bem definido.
Você quer definir uma referência comum para extensões X.509 e outras restrições que se aplicam a todos os perfis de emissão de certificados.

Para mais informações sobre as políticas de emissão, consulte Adicionar uma política de emissão de certificados a um pool de ACs.

Restrições de nome do certificado de CA

O CAS impõe restrições de nome em certificados de AC, conforme definido na seção de restrições de nome do RFC 5280. Ele permite controlar quais nomes são permitidos ou excluídos em certificados emitidos por ACs.

Por exemplo, é possível criar uma AC com restrições de nome para aplicar as seguintes condições:

Somente my-org-domain.com e os subdomínios dele podem ser usados como nomes de DNS.
untrusted-domain.com e seus subdomínios são proibidos como nomes de DNS.

As restrições de nome são para o certificado de AC. Elas só podem ser especificadas durante a criação da AC e não podem ser atualizadas mais tarde.

Conflitos de políticas

Ao usar diferentes mecanismos de controle de políticas em conjunto, é possível que políticas em níveis diferentes entrem em conflito. Esta seção descreve como os controles de políticas são aplicados e oferece orientações sobre como evitar conflitos de políticas.

Aplicação das políticas

Ao solicitar certificados, os controles de política são avaliados em diferentes camadas.

As vinculações condicionais do IAM para atributos de solicitação são avaliadas primeiro para garantir que o autor da chamada tenha as permissões necessárias para criar certificados ou usar modelos de certificado.

Durante a criação do certificado, o pool de ACs e a política de emissão do modelo de certificado são validados com base na solicitação de certificado normalizada. As extensões X.509 da política de emissão de certificados do pool de ACs e do modelo de certificado são adicionadas ao certificado, e alguns valores podem ser descartados com base nessas mesmas políticas.

Antes da assinatura, as restrições de nome nos certificados de AC são validadas para garantir que o assunto esteja em conformidade.

Conflitos de políticas de emissão

Confira a seguir uma lista não abrangente de erros em que a política de emissão de um modelo de certificado pode entrar em conflito com a política de emissão de um pool de ACs.

Um modelo de certificado contém valores predefinidos que são proibidos pelo pool de ACs.
Um modelo de certificado contém valores X.509 diferentes dos valores de referência do pool de ACs.

Em todos esses casos, a API retorna um erro de argumento inválido.

Conflitos de CEL

O CEL permite implementar várias expressões. Há situações em que as expressões CEL na política de emissão do pool de ACs e no modelo de certificado entram em conflito. Esses conflitos impedem a emissão de certificados pelo pool de ACs. Por exemplo, considere a situação em que um pool de AC tinha uma expressão de CEL que exigia que o nome comum de um certificado terminasse em .example.com e o modelo de certificado tivesse uma expressão de CEL que exigia que o nome comum de um certificado terminasse em .example.net. Como essas duas expressões CEL colocam restrições diferentes no mesmo campo, todas as solicitações de emissão de certificado falham.

Se você estiver usando políticas de emissão de certificados e modelos de certificados, recomendamos que verifique se as expressões de CEL não entram em conflito.

A seguir

Saiba mais sobre como usar a Common Expression Language (CEL).