Übersicht über Zertifikatsvorlagen und Ausstellungsrichtlinien

Auf dieser Seite erhalten Sie einen Überblick über die Implementierung von Richtliniensteuerungen im Certificate Authority Service mithilfe von Zertifikatvorlagen, Ausstellungsrichtlinien und Einschränkungen für Zertifikatsnamen.

Mit Richtliniensteuerungen können Sie die Art der Zertifikate steuern, die von Ihrem CA-Pool (Zertifizierungsstelle) ausgestellt werden können. Es gibt zwei Arten von Richtliniensteuerungen: grob und detailliert. Bei grobkörnigen Richtlinien werden CA-Pool-spezifische Einschränkungen angewendet. Detaillierte Richtlinien legen fest, welche Vorgänge ein bestimmter Nutzer in einem CA-Pool ausführen kann.

Zertifikatsvorlagen

Sie können eine Zertifikatsvorlage verwenden, wenn Sie ein klar definiertes Szenario für die Zertifikatsausstellung haben. Mithilfe von Zertifikatsvorlagen können Sie für Zertifikate, die von verschiedenen Zertifizierungsstellenpools ausgestellt wurden, für Konsistenz sorgen. Mit einer Zertifikatsvorlage können Sie auch die Arten von Zertifikaten einschränken, die von verschiedenen Personen ausgestellt werden können.

Informationen zu Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Richtlinien für die Zertifikatsausstellung

Ein CA-Manager kann einem CA-Pool eine Richtlinie zur Zertifikatsausstellung zuweisen, um Einschränkungen für die Art der Zertifikate festzulegen, die die Zertifizierungsstellen im CA-Pool ausstellen können. Eine Ausstellungsrichtlinie kann Einschränkungen für Zertifikatsidentitäten, Zertifikatslaufzeiten, Schlüsseltypen, Zertifikatsanfragemodi und X.509-Erweiterungen definieren. Die Ausstellungsrichtlinie kann auch eine Reihe von X.509-Erweiterungen enthalten, die auf alle eingehenden Zertifikatsanfragen angewendet werden.

Mit Ausstellungsrichtlinien können Sie bestimmte Einschränkungen auf den gesamten CA-Pool anwenden. Mit einer Richtlinienvorlage für die Ausstellung können Sie beispielsweise die folgenden Bedingungen erzwingen:

  • Alle ausgestellten Zertifikate enthalten O=My organization im Subject.
  • Alle DNS-Namen enden mit .my-org-domain.com.
  • Der CA-Pool kann nur Server-TLS-Zertifikate ausstellen.

Wenn einer oder beide der folgenden Fälle zutrifft, empfehlen wir die Verwendung einer Richtlinie zur Zertifikatsausstellung:

  1. Ihr CA-Pool soll Zertifikate gemäß einem einzigen, klar definierten Profil ausstellen.
  2. Sie möchten eine gemeinsame Baseline für X.509-Erweiterungen und zusätzliche Einschränkungen definieren, die für alle Profile zur Zertifikatsausstellung gelten.

Weitere Informationen zu Ausstellungsrichtlinien finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Namenseinschränkungen für CA-Zertifikate

Zertifizierungsstellen erzwingen Namenseinschränkungen in CA-Zertifikaten, wie im Abschnitt zu Namenseinschränkungen in RFC 5280 definiert. Damit können Sie festlegen, welche Namen in von Zertifizierungsstellen ausgestellten Zertifikaten zulässig oder ausgeschlossen sind.

Sie können beispielsweise eine CA mit Namensbeschränkungen erstellen, um die folgenden Bedingungen durchzusetzen:

  • Als DNS-Namen können nur my-org-domain.com und seine Subdomains verwendet werden.
  • untrusted-domain.com und seine Subdomains sind als DNS-Namen nicht zulässig.

Namenseinschränkungen gelten für CA-Zertifikate. Sie können nur bei der Erstellung der Zertifizierungsstelle angegeben werden und können später nicht mehr aktualisiert werden.

Richtlinienkonflikte

Wenn Sie verschiedene Mechanismen zur Richtliniensteuerung kombinieren, kann es zu Konflikten zwischen Richtlinien auf verschiedenen Ebenen kommen. In diesem Abschnitt wird beschrieben, wie Richtlinienkontrollen erzwungen werden, und es werden Richtlinienkonflikte erläutert.

Durchsetzung der Richtlinien

Beim Anfordern von Zertifikaten werden Richtlinienkontrollen auf verschiedenen Ebenen ausgewertet.

IAM-Bedingte Bindungen für Anfrageattribute werden zuerst ausgewertet, um sicherzustellen, dass der Aufrufer die erforderlichen Berechtigungen zum Erstellen von Zertifikaten oder zum Verwenden von Zertifikatvorlagen hat.

Bei der Zertifikatserstellung werden der CA-Pool und die Richtlinie zur Ausstellung von Zertifikatsvorlagen anhand der normalisierten Zertifikatsanfrage überprüft. Dem Zertifikat werden X.509-Erweiterungen aus der Richtlinie zur Zertifikatausstellung des CA-Pools und der Zertifikatsvorlage hinzugefügt. Bestimmte Werte können gemäß diesen Richtlinien entfernt werden.

Vor dem Signieren des Zertifikats werden die Namenseinschränkungen in CA-Zertifikaten anhand des Zertifikats geprüft, um sicherzustellen, dass das Subjekt konform ist.

Konflikte bei den Richtlinien für die Ausstellung

Im Folgenden finden Sie eine unvollständige Liste von Fehlern, bei denen die Ausstellungsrichtlinie einer Zertifikatsvorlage mit der Ausstellungsrichtlinie eines Zertifizierungsstellenpools in Konflikt stehen kann.

  • Eine Zertifikatsvorlage enthält vordefinierte Werte, die vom CA-Pool verboten sind.
  • Eine Zertifikatsvorlage enthält andere X.509-Werte als die Referenzwerte des CA-Pools.

In all diesen Fällen gibt die API einen Fehler zurück, weil das Argument ungültig ist.

CEL-Konflikte

Mit CEL können Sie verschiedene Ausdrücke implementieren. Es kann vorkommen, dass die CEL-Ausdrücke in der Ausstellungsrichtlinie des CA-Pools und in der Zertifikatsvorlage in Konflikt stehen. Aufgrund dieser Konflikte können keine Zertifikate vom CA-Pool ausgestellt werden. Angenommen, ein CA-Pool hat einen CEL-Ausdruck, der erzwingt, dass der allgemeine Name eines Zertifikats auf .example.com endet, und die Zertifikatsvorlage hat einen CEL-Ausdruck, der erzwingt, dass der allgemeine Name eines Zertifikats auf .example.net endet. Da diese beiden CEL-Ausdrücke unterschiedliche Einschränkungen für dasselbe Feld festlegen, schlagen alle Anträge auf Zertifikatsausstellung fehl.

Wenn Sie sowohl Richtlinien für die Zertifikatsausstellung als auch Zertifikatsvorlagen verwenden, sollten Sie darauf achten, dass ihre CEL-Ausdrücke nicht in Konflikt stehen.

Nächste Schritte