Descripción general de las plantillas de certificados y las políticas de emisión

En esta página, se proporciona una descripción general de la implementación de controles de políticas en Certificate Authority Service mediante plantillas de certificados, políticas de emisión y restricciones de nombres de certificados.

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir el grupo de autoridades certificadoras (AC). Los controles de políticas son de dos tipos: poco detallados y detallados. Las políticas poco detalladas aplican restricciones específicas de grupos de CA. Las políticas detalladas determinan las operaciones que un usuario específico puede realizar en un grupo de CA.

Plantillas de certificado

Puedes usar una plantilla de certificado cuando tienes una situación de emisión de certificados bien definida. Puedes usar plantillas de certificados para habilitar la coherencia entre los certificados emitidos desde diferentes grupos de CA. También puedes usar una plantilla de certificado para restringir los tipos de certificados que pueden emitir diferentes personas.

Para obtener información sobre las plantillas de certificado, consulta Crea una plantilla de certificado.

Políticas de emisión de certificados

Un Administrador de CA puede adjuntar una política de emisión de certificados a un grupo de AC para definir restricciones sobre el tipo de certificados que pueden emitir las AC del grupo de AC. Una política de emisión puede definir restricciones en las identidades de los certificados, la vida útil de los certificados, los tipos de claves, los modos de solicitud de certificado y las extensiones X.509. La política de emisión también puede contener un conjunto de extensiones X.509 que se aplican a todas las solicitudes de certificados entrantes.

Las políticas de emisión te permiten aplicar ciertas restricciones a todo el grupo de CA. Por ejemplo, puedes usar una política de emisión para aplicar las siguientes condiciones:

  • Todos los certificados emitidos tienen O=My organization en el asunto.
  • Todos los nombres de DNS terminan con .my-org-domain.com.
  • El grupo de CA solo puede emitir certificados TLS del servidor.

Si se aplica uno o ambos de los siguientes casos, te recomendamos usar una política de emisión de certificados:

  1. Tu grupo de CA está diseñado para emitir certificados en función de un perfil único y bien definido.
  2. Quieres definir un modelo de referencia común para las extensiones de X.509 y restricciones adicionales que se aplican a todos los perfiles de emisión de certificados.

Para obtener más información sobre las políticas de emisión, consulta Agrega una política de emisión de certificados a un grupo de AC.

Restricciones de nombres de certificados de CA

CAS aplica restricciones de nombres en certificados de CA según se define en la sección de restricciones de nombres de RFC 5280. Te permite controlar qué nombres están permitidos o excluidos en los certificados emitidos desde las AC.

Por ejemplo, puedes crear una AC con restricciones de nombre para aplicar las siguientes condiciones:

  • Solo se pueden usar my-org-domain.com y sus subdominios como nombres de DNS.
  • Se prohíben untrusted-domain.com y sus subdominios como nombres de DNS.

Las restricciones de nombres son para certificados de AC. Solo se pueden especificar durante la creación de la AC y no se pueden actualizar más adelante.

Conflictos de políticas

Si se usan distintos mecanismos de control de políticas en conjunto, es posible que las políticas en los distintos niveles entren en conflicto. En esta sección, se describe cómo se aplican los controles de políticas y se proporciona orientación para evitar conflictos relacionados.

Aplicación de políticas

Cuando se solicitan certificados, los controles de políticas se evalúan en diferentes capas.

Las vinculaciones condicionales de IAM para atributos de solicitud se evalúan primero a fin de garantizar que el emisor tenga los permisos necesarios para crear certificados o usar plantillas de certificados.

Durante la creación del certificado, el grupo de AC y la política de emisión de plantillas de certificados se validan en función de la solicitud de certificado normalizada. Las extensiones X.509 de la política de emisión de certificados del grupo de CA y la plantilla de certificado se agregan al certificado, y se pueden descartar ciertos valores según esas mismas políticas.

Antes de firmar el certificado, las restricciones de nombres de los certificados de AC se validan con el certificado para garantizar que el sujeto cumpla con los requisitos.

Conflictos de políticas de emisión

La siguiente es una lista no completa de errores en los que la política de emisión de una plantilla de certificado puede entrar en conflicto con la política de emisión de un grupo de CA.

  • Una plantilla de certificado contiene valores predefinidos que el grupo de CA prohíbe.
  • Una plantilla de certificado contiene valores X.509 diferentes a los de los valores de referencia del grupo de CA.

En todos estos casos, la API muestra un error de argumento no válido.

Conflictos de CEL

CEL proporciona la capacidad de implementar expresiones diversas. Puede haber situaciones en las que las expresiones CEL en la política de emisión del grupo de la AC y en la plantilla de certificado entren en conflicto. Estos conflictos no permiten que se emitan certificados desde el grupo de CA. Por ejemplo, imagina que un grupo de AC tenía una expresión CEL que aplica el nombre común de un certificado para que termine en .example.com y la plantilla de certificado tiene una expresión CEL que aplica el nombre común de un certificado que termina en .example.net. Dado que estas dos expresiones de CEL aplican diferentes restricciones en el mismo campo, todas las solicitudes de emisión de certificados fallan.

Si usas políticas de emisión de certificados y plantillas de certificados, recomendamos que te asegures de que sus expresiones en CEL no entren en conflicto.

¿Qué sigue?