Evitar y resolver conflictos de políticas
Una política de Servicio de Autoridades de Certificación puede ser una política de emisión de un grupo de CAs o una plantilla de certificado. Las políticas de emisión de certificados definen las reglas generales de un grupo de AAs, mientras que las plantillas de certificados proporcionan instrucciones más específicas para los distintos tipos de certificados. Para obtener información sobre los controles de políticas, consulta Información sobre los controles de políticas. Una política consta de dos partes principales:
Valores de referencia: los valores de referencia (también conocidos como valores predefinidos) son ajustes obligatorios para todos los certificados emitidos por una política específica. Por ejemplo, puede que tengas una política que diga: "Todos los certificados emitidos en virtud de esta política deben tener la marca
digitalSignaturehabilitada en la extensiónkeyUsage". De esta forma, se asegura que todos los certificados emitidos por esta política se puedan usar para firmas digitales.Restricciones de extensiones: las restricciones de extensiones limitan las extensiones que se pueden añadir a los certificados fuera de la propia política. Por ejemplo, una política puede indicar que solo se puede añadir la extensión AIA-OCSP a los certificados que no cumplan esta política. Esto significa que, si alguien intenta añadir otras extensiones (como el nombre alternativo del firmante) a través de otra política o directamente en la solicitud de certificado, esas extensiones se ignorarán.
Cuando solicitas un certificado, el grupo de autoridades de certificación usa la plantilla especificada para crear el certificado. Sin embargo, la política de emisión adjunta al grupo de ACs también evalúa la solicitud en función de sus propias reglas. Se producen conflictos cuando la configuración de una plantilla de certificado contradice la configuración de la política de emisión de certificados añadida al grupo de ACs, ya que ambas intentan aplicar reglas al mismo certificado. Estos son algunos posibles casos:
Definiciones de extensiones superpuestas
Los conflictos se producen cuando se define la misma extensión en los valores de referencia de ambas políticas. Por ejemplo, si defines la misma extensión keyUsage en la política de emisión del pool de CAs y en tu plantilla de certificado, el servicio de autoridad de certificación detectará que hay un conflicto aunque especifiques diferentes partes de la extensión en cada lugar.
Ejemplo:
- Política de emisión: requiere
digitalSignature: trueen la extensiónkeyUsage. - Plantilla de certificado: requiere
keyEncipherment: trueen la extensiónkeyUsage.
Sigue considerándose un conflicto porque el servicio de autoridad de certificación considera toda la extensión como una sola unidad y comprueba si la extensión se define en ambos lugares, no los valores específicos de la extensión.
Para evitar conflictos, asegúrate de definir cada extensión solo una vez, ya sea en la política de emisión de tu grupo de CAs o en tu plantilla de certificado, pero no en ambas. De esta forma, se asegura la claridad y se evitan errores inesperados en la emisión de certificados.
Restricciones de extensiones y valores de referencia en conflicto
Se produce un conflicto de políticas cuando las restricciones de extensión de una política chocan con los valores de referencia de otra política. Esto ocurre en los siguientes casos:
- Una política restringe o prohíbe una extensión: esto puede hacerse mediante una exclusión general de todas las extensiones o mediante una lista específica de extensiones permitidas que no incluya la extensión en cuestión.
- Otra política requiere la misma extensión: esto significa que la segunda política tiene un valor de referencia definido para esa extensión específica.
Ejemplo:
- Política de emisión: tiene restricciones de extensión que solo permiten la extensión
keyUsage. - Plantilla de certificado: requiere la extensión
certificatePoliciesen sus valores de referencia.
Esto crea un conflicto porque la política de emisión prohíbe la extensión certificatePolicies, mientras que la plantilla de certificado la requiere.
Al definir las políticas, ten en cuenta tanto los valores de referencia como las restricciones de las extensiones para asegurarte de que funcionan conjuntamente. Evita situaciones en las que una política restrinja una extensión que otra política requiera. De esta forma, se evitan conflictos y se asegura que los certificados se emitan correctamente.
Conflictos de expresiones del lenguaje de expresión común (CEL)
Si usas el lenguaje de expresión común (CEL) para tener un control preciso, las expresiones conflictivas de la plantilla de certificado y la política de emisión pueden provocar conflictos.
Estos conflictos impiden que se emitan certificados desde el grupo de ACs. Por ejemplo, puede que tengas una expresión que requiera que el nombre de dominio termine en .example.com y otra que requiera que termine en .example.net. Como estas dos expresiones CEL imponen restricciones diferentes en el mismo campo, todas las solicitudes de emisión de certificados fallan.
Si usa tanto políticas de emisión de certificados como plantillas de certificados, le recomendamos que se asegure de que sus expresiones de CEL no entren en conflicto.
En todos estos casos, la API de servicio de CA devuelve un error de argumento no válido.
Resolver conflictos de políticas
Cuando la API del servicio de CA detecta un conflicto de políticas, devuelve un error de argumento no válido y la solicitud de certificado falla. Para ver y resolver los conflictos de políticas, siga estos pasos:
- Haga clic en el enlace Solucionador de problemas de la política de emisión que se muestra con el mensaje de error. Aparecerá una página para solucionar problemas en la que podrá comparar los valores de referencia y las restricciones de extensión de la política de emisión del grupo de CAs con los valores de referencia y las restricciones de extensión de la plantilla de certificado. Observa que los conflictos de políticas están resaltados.
- Accede al grupo de ACs o a la plantilla de certificado para actualizar los valores en conflicto y resolver el conflicto.
Una vez que se haya resuelto el conflicto, vuelva a enviar la solicitud de certificado.