Ringkasan kebijakan penerbitan dan template sertifikat
Halaman ini menyediakan ringkasan tentang penerapan kontrol kebijakan di Certificate Authority Service menggunakan template sertifikat, kebijakan penerbitan, dan batasan nama sertifikat.
Kontrol kebijakan memungkinkan Anda mengontrol jenis sertifikat yang dapat diterbitkan oleh kumpulan certificate authority (CA) Anda. Kontrol kebijakan terdiri atas dua jenis: terperinci dan terperinci. Kebijakan yang terperinci menerapkan batasan khusus kumpulan CA. Kebijakan yang terperinci menentukan operasi yang dapat dilakukan pengguna tertentu dalam kumpulan CA.
Template sertifikat
Anda dapat menggunakan template sertifikat saat Anda memiliki skenario penerbitan sertifikat yang terdefinisi dengan baik. Anda dapat menggunakan template sertifikat untuk mengaktifkan konsistensi di seluruh sertifikat yang diterbitkan dari kumpulan CA yang berbeda. Anda juga dapat menggunakan template sertifikat untuk membatasi jenis sertifikat yang dapat diterbitkan oleh individu yang berbeda.
Untuk informasi tentang template sertifikat, lihat Membuat template sertifikat.
Kebijakan penerbitan sertifikat
Pengelola CA dapat melampirkan kebijakan penerbitan sertifikat ke kumpulan CA untuk menentukan batasan pada jenis sertifikat yang dapat diterbitkan oleh CA dalam kumpulan CA. Kebijakan penerbitan dapat menentukan batasan pada identitas sertifikat, masa aktif sertifikat, jenis kunci, mode permintaan sertifikat, dan ekstensi X.509. Kebijakan penerbitan juga dapat berisi kumpulan ekstensi X.509 yang diterapkan ke semua permintaan sertifikat yang masuk.
Kebijakan penerbitan memungkinkan Anda menerapkan batasan tertentu pada seluruh kumpulan CA. Misalnya, Anda dapat menggunakan kebijakan penerbitan untuk menegakkan ketentuan berikut:
- Semua sertifikat yang diterbitkan memiliki
O=My organization
dalam subjeknya. - Semua nama DNS diakhiri dengan
.my-org-domain.com
. - Kumpulan CA hanya dapat menerbitkan sertifikat TLS Server.
Jika salah satu atau kedua kasus berikut berlaku, sebaiknya gunakan kebijakan penerbitan sertifikat:
- Kumpulan CA Anda dimaksudkan untuk menerbitkan sertifikat sesuai dengan satu profil yang terdefinisi dengan baik.
- Anda ingin menentukan dasar pengukuran umum untuk ekstensi X.509 dan pembatasan tambahan yang berlaku pada semua profil penerbitan sertifikat.
Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.
Batasan nama sertifikat CA
CAS menerapkan batasan nama di sertifikat CA seperti yang dijelaskan di bagian batasan nama RFC 5280. Ini memungkinkan Anda mengontrol nama mana yang diizinkan atau dikecualikan dalam sertifikat yang diterbitkan dari CA.
Misalnya, Anda dapat membuat CA dengan batasan nama untuk menerapkan kondisi berikut:
- Hanya
my-org-domain.com
dan subdomainnya yang dapat digunakan sebagai nama DNS. untrusted-domain.com
dan subdomainnya dilarang sebagai nama DNS.
Batasan nama adalah untuk sertifikat CA. Parameter ini hanya dapat ditentukan selama pembuatan CA dan tidak dapat diperbarui nanti.
Konflik kebijakan
Ketika menggunakan mekanisme kontrol kebijakan yang berbeda secara bersamaan, ada kemungkinan bahwa kebijakan di tingkat yang berbeda dapat bertentangan. Bagian ini menjelaskan cara penegakan kontrol kebijakan dan memberikan panduan untuk menghindari konflik kebijakan.
Penegakan kebijakan
Saat meminta sertifikat, kontrol kebijakan dievaluasi pada berbagai lapisan.
Binding kondisional IAM untuk atribut permintaan dievaluasi terlebih dahulu guna memastikan pemanggil memiliki izin yang diperlukan untuk membuat sertifikat atau menggunakan template sertifikat.
Selama pembuatan sertifikat, kumpulan CA dan kebijakan penerbitan template sertifikat divalidasi berdasarkan permintaan sertifikat yang dinormalisasi. Ekstensi X.509 dari kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat ditambahkan ke sertifikat, lalu nilai tertentu dapat dihapus berdasarkan kebijakan yang sama tersebut.
Sebelum menandatangani sertifikat, batasan nama di sertifikat CA divalidasi dengan sertifikat untuk memastikan subjek mematuhi kebijakan.
Konflik kebijakan penerbitan
Berikut adalah daftar error tidak lengkap jika kebijakan penerbitan template sertifikat dapat bertentangan dengan kebijakan penerbitan kumpulan CA.
- Template sertifikat berisi nilai yang telah ditentukan yang dilarang oleh kumpulan CA.
- Template sertifikat berisi nilai X.509 yang berbeda dengan nilai dasar pengukuran kumpulan CA.
Dalam semua kasus ini, API menampilkan error argumen yang tidak valid.
Konflik CEL
CEL memberikan kemampuan untuk menerapkan beragam ekspresi. Mungkin ada situasi ketika ekspresi CEL pada kebijakan penerbitan kumpulan CA dan template sertifikat bertentangan. Konflik ini melarang sertifikat diterbitkan dari kumpulan CA. Misalnya, perhatikan situasi saat kumpulan CA memiliki ekspresi CEL yang menerapkan nama umum sertifikat yang diakhiri dengan .example.com
dan template sertifikat memiliki ekspresi CEL yang menerapkan nama umum sertifikat yang diakhiri dengan .example.net
. Karena kedua ekspresi CEL ini menerapkan batasan yang berbeda pada kolom yang sama, semua permintaan penerbitan sertifikat akan gagal.
Jika Anda menggunakan kebijakan penerbitan sertifikat dan template sertifikat, sebaiknya pastikan bahwa ekspresi CEL tidak bertentangan.
Langkah selanjutnya
- Pelajari cara menggunakan Common Expression Language (CEL).