Panoramica dei modelli di certificati e dei criteri di emissione

Questa pagina fornisce una panoramica dell'implementazione dei controlli dei criteri in Certificate Authority Service utilizzando modelli di certificato, criteri di emissione e vincoli relativi ai nomi dei certificati.

I controlli dei criteri consentono di controllare il tipo di certificati che il pool di autorità di certificazione (CA) può emettere. I controlli dei criteri sono di due tipi: granulari e granulari. I criteri granulari applicano vincoli specifici del pool di CA. I criteri granulari determinano le operazioni che un determinato utente può eseguire su un pool di CA.

Modelli di certificato

Puoi utilizzare un modello di certificato in uno scenario ben definito di emissione dei certificati. Puoi utilizzare i modelli di certificato per garantire la coerenza tra i certificati emessi da diversi pool di CA. Puoi anche utilizzare un modello di certificato per limitare i tipi di certificati che possono essere emessi da utenti diversi.

Per informazioni sui modelli di certificato, vedi Creare un modello di certificato.

Criteri di emissione dei certificati

Un gestore di CA può collegare un criterio di emissione dei certificati a un pool di CA per definire le limitazioni sul tipo di certificati che possono essere emessi dalle CA del pool di CA. Un criterio di emissione può definire limitazioni su identità dei certificati, durata dei certificati, tipi di chiave, modalità di richiesta dei certificati ed estensioni X.509. Il criterio di emissione può contenere anche un insieme di estensioni X.509 applicate a tutte le richieste di certificato in entrata.

I criteri di emissione consentono di applicare determinate limitazioni all'intero pool di CA. Ad esempio, puoi utilizzare un criterio di emissione per applicare le seguenti condizioni:

• L'oggetto di tutti i certificati emessi è O=My organization.
• Tutti i nomi DNS terminano con .my-org-domain.com.
• Il pool di CA può emettere solo certificati TLS del server.

Se si applica uno dei seguenti casi o entrambi, ti consigliamo di utilizzare un criterio di emissione dei certificati:

1. Il tuo pool di CA è destinato a emettere certificati in base a un singolo profilo ben definito.
2. Vuoi definire una base di riferimento comune per le estensioni X.509 e limitazioni aggiuntive che si applicano a tutti i profili di emissione dei certificati.

Per ulteriori informazioni sui criteri di emissione, vedi Aggiungere un criterio di emissione di certificati a un pool di CA.

Vincoli relativi ai nomi dei certificati CA

Le CAS applicano i vincoli relativi ai nomi nei certificati CA, come definito nella sezione dei vincoli relativi ai nomi RFC 5280. Ti consente di controllare quali nomi sono consentiti o esclusi nei certificati emessi dalle CA.

Ad esempio, puoi creare una CA con vincoli relativi ai nomi per applicare le seguenti condizioni:

• Solo my-org-domain.com e i relativi sottodomini possono essere utilizzati come nomi DNS.
• untrusted-domain.com e i suoi sottodomini sono vietati come nomi DNS.

I vincoli relativi ai nomi riguardano i certificati CA. Possono essere specificate solo durante la creazione della CA e non possono essere aggiornate in un secondo momento.

Conflitti delle norme

Quando si utilizzano contemporaneamente diversi meccanismi di controllo dei criteri, c'è la possibilità che criteri a livelli diversi possano entrare in conflitto. Questa sezione descrive come vengono applicati i controlli delle norme e fornisce indicazioni su come evitare conflitti tra le norme.

Applicazione dei criteri

Quando richiedi i certificati, i controlli dei criteri vengono valutati a livelli diversi.

Le associazioni condizionali IAM per gli attributi della richiesta vengono valutate prima per garantire che il chiamante disponga delle autorizzazioni necessarie per creare certificati o utilizzare i modelli di certificato.

Durante la creazione del certificato, il pool di CA e il criterio di emissione del modello di certificato vengono convalidati in base alla richiesta di certificato normalizzata. Le estensioni X.509 del criterio di emissione dei certificati del pool di CA e del modello di certificato vengono aggiunte al certificato; alcuni valori possono essere ignorati in base agli stessi criteri.

Prima di firmare il certificato, i vincoli relativi ai nomi nei certificati CA vengono convalidati in base al certificato per garantire la conformità dell'oggetto.

Conflitti delle norme di emissione

Di seguito è riportato un elenco non completo di errori in cui i criteri di emissione di un modello di certificato possono essere in conflitto con i criteri di emissione di un pool di CA.

• Un modello di certificato contiene valori predefiniti vietati dal pool di CA.
• Un modello di certificato contiene valori X.509 diversi rispetto ai valori di riferimento del pool di CA.

In tutti questi casi, l'API restituisce un errore relativo ad argomenti non validi.

Conflitti CEL

La tecnologia CEL consente di implementare espressioni diverse. Possono verificarsi situazioni in cui le espressioni CEL nel criterio di emissione del pool di CA e nel modello di certificato sono in conflitto. Questi conflitti non consentono l'emissione di certificati dal pool di CA. Ad esempio, considera la situazione in cui un pool di CA avesse un'espressione CEL che imponesse il nome comune di un certificato che termina con .example.com e il modello di certificato aveva un'espressione CEL che applica il nome comune di un certificato che termina con .example.net. Poiché queste due espressioni CEL pongono limitazioni diverse sullo stesso campo, tutte le richieste di emissione dei certificati hanno esito negativo.

Se utilizzi sia criteri di emissione di certificati sia modelli di certificato, ti consigliamo di assicurarti che le rispettive espressioni CEL non siano in conflitto.

Passaggi successivi

• Scopri di più sull'utilizzo del linguaggio CEL (Common Expression Language).