Panoramica dei modelli di certificati e dei criteri di emissione

Questa pagina fornisce una panoramica dell'implementazione dei controlli dei criteri in Certificate Authority Service utilizzando modelli di certificati, criteri di emissione e vincoli per i nomi dei certificati.

I controlli dei criteri ti consentono di controllare il tipo di certificati che può emettere il pool dell'autorità di certificazione (CA). I controlli dei criteri sono di due tipi: granulari e granulari fini. I criteri granulari applicano vincoli specifici per il pool di CA. I criteri granulari determinano le operazioni che un determinato utente può eseguire su un pool di CA.

Modelli di certificato

Puoi utilizzare un modello di certificato quando hai uno scenario di emissione di certificati ben definito. Puoi utilizzare i modelli di certificato per garantire la coerenza tra i certificati emessi da pool di CA diversi. Puoi anche utilizzare un modello di certificato per limitare i tipi di certificati che persone diverse possono emettere.

Per informazioni sui modelli di certificato, vedi Creare un modello di certificato.

Criteri di emissione dei certificati

Un gestore delle CA può associare un criterio di emissione dei certificati a un pool di CA per definire limitazioni sul tipo di certificati che le CA nel pool possono emettere. Un criterio di emissione può definire limitazioni per le identità dei certificati, le durate dei certificati, i tipi di chiavi, le modalità di richiesta dei certificati e le estensioni X.509. Il criterio di emissione può anche contenere un insieme di estensioni X.509 che vengono applicate a tutte le richieste di certificato in arrivo.

Le norme di emissione ti consentono di applicare determinate limitazioni all'intero pool di CA. Ad esempio, puoi utilizzare un criterio di emissione per applicare le seguenti condizioni:

  • Tutti i certificati emessi hanno O=My organization nell'oggetto.
  • Tutti i nomi DNS terminano con .my-org-domain.com.
  • Il pool di CA può emettere solo certificati TLS del server.

Se si applica uno o entrambi i casi seguenti, ti consigliamo di utilizzare un criterio di rilascio dei certificati:

  1. Il pool di CA è destinato a emettere certificati in base a un singolo profilo ben definito.
  2. Vuoi definire una linea di base comune per le estensioni X.509 e limitazioni aggiuntive che si applicano a tutti i profili di emissione dei certificati.

Per ulteriori informazioni sui criteri di emissione, consulta Aggiungere un criterio di emissione dei certificati a un pool di CA.

Vincoli relativi ai nomi dei certificati CA

CAS applica i vincoli relativi ai nomi nei certificati CA come definito nella sezione relativa ai vincoli relativi ai nomi di RFC 5280. Ti consente di controllare quali nomi sono consentiti o esclusi nei certificati emessi dalle CA.

Ad esempio, puoi creare una CA con limitazioni del nome per applicare le seguenti condizioni:

  • Solo my-org-domain.com e i relativi sottodomini possono essere utilizzati come nomi DNS.
  • untrusted-domain.com e i relativi sottodomini sono vietati come nomi DNS.

I vincoli relativi ai nomi si riferiscono al certificato CA. Possono essere specificati solo durante la creazione della CA e non possono essere aggiornati in un secondo momento.

Conflitti di norme

Quando vengono utilizzati contemporaneamente diversi meccanismi di controllo dei criteri, è possibile che i criteri a livelli diversi entrino in conflitto. Questa sezione descrive come vengono applicati i controlli delle norme e fornisce indicazioni su come evitare conflitti di norme.

Applicazione dei criteri

Quando richiedi i certificati, i controlli dei criteri vengono valutati a diversi livelli.

Le associazioni condizionali IAM per gli attributi della richiesta vengono valutate per prime per garantire che il chiamante disponga delle autorizzazioni necessarie per creare certificati o utilizzare modelli di certificato.

Durante la creazione del certificato, il pool di CA e il criterio di emissione del modello di certificato vengono convalidati in base alla richiesta di certificato normalizzata. Le estensioni X.509 del criterio di emissione dei certificati e del modello di certificato del pool di CA vengono aggiunte al certificato e alcuni valori possono essere ignorati in base alle stesse norme.

Prima di firmare il certificato, i vincoli relativi ai nomi nei certificati CA vengono convalidati in base al certificato per garantire la conformità dell'oggetto.

Conflitti delle norme relative al rilascio

Di seguito è riportato un elenco non esaustivo di errori in cui il criterio di emissione di un modello di certificato può essere in conflitto con il criterio di emissione di un pool di CA.

  • Un modello di certificato contiene valori predefiniti vietati dal pool di CA.
  • Un modello di certificato contiene valori X.509 diversi rispetto ai valori di riferimento del pool di CA.

In tutti questi casi, l'API restituisce un errore relativo all'argomento non valido.

Conflitti CEL

CEL offre la possibilità di implementare diverse espressioni. In alcuni casi le espressioni CEL nella policy di emissione del pool di CA e nel modello di certificato possono essere in conflitto. Questi conflitti non consentono l'emissione di certificati dal pool di CA. Ad esempio, immagina la situazione in cui un pool di CA avesse un'espressione CEL che imponeva che il nome comune di un certificato terminasse con .example.com e il modello di certificato avesse un'espressione CEL che imponeva che il nome comune di un certificato terminasse con .example.net. Poiché queste due espressioni CEL applicano limitazioni diverse allo stesso campo, tutte le richieste di emissione del certificato non vanno a buon fine.

Se utilizzi sia i criteri di emissione dei certificati sia i modelli di certificati, ti consigliamo di assicurarti che le relative espressioni CEL non siano in conflitto.

Passaggi successivi