Evita y resuelve los conflictos de políticas
Una política en Certificate Authority Service puede ser una política de emisión de un grupo de AC o una plantilla de certificado. Las políticas de emisión de certificados establecen las reglas generales para un grupo de AC, mientras que las plantillas de certificados proporcionan instrucciones más específicas para diferentes tipos de certificados. Para obtener más información sobre los controles de políticas, consulta Acerca de los controles de políticas. Una política tiene dos partes principales:
Valores de referencia: Los valores de referencia (también conocidos como valores predefinidos) son parámetros de configuración obligatorios para todos los certificados emitidos por una política específica. Por ejemplo, puedes tener una política que diga: "Cada certificado emitido en virtud de esta política debe tener la marca
digitalSignaturehabilitada en la extensiónkeyUsage". Esto garantiza que todos los certificados emitidos por esta política se puedan usar para las firmas digitales.Restricciones de extensiones: Las restricciones de extensiones limitan las extensiones que se pueden agregar a los certificados fuera de la política. Por ejemplo, una política podría indicar lo siguiente: “Solo se permite agregar la extensión AIA-OCSP a los certificados fuera de esta política”. Esto significa que, si alguien intenta agregar otras extensiones (como el nombre alternativo de entidad) a través de una política diferente o directamente en la solicitud de certificado, se ignoran esas extensiones.
Cuando solicitas un certificado, el grupo de AC usa la plantilla especificada para crearlo. Sin embargo, la política de emisión adjunta al grupo de AC también evalúa la solicitud en función de sus propias reglas. Los conflictos se producen cuando la configuración de una plantilla de certificado contraviene la configuración de la política de emisión de certificados agregada al grupo de AC, ya que ambas intentan aplicar reglas en el mismo certificado. Estas son algunas situaciones posibles:
Definiciones de extensiones superpuestas
Los conflictos se producen cuando se define la misma extensión en los valores del modelo de referencia de ambas políticas. Por ejemplo, si defines la misma extensión keyUsage en la política de emisión del grupo de AC y en tu plantilla de certificado, Certificate Authority Service lo detectará como un conflicto, incluso si especificas diferentes partes de la extensión en cada lugar.
Ejemplo:
- Política de emisión: Se requiere
digitalSignature: trueen la extensiónkeyUsage. - Plantilla de certificado: requiere
keyEncipherment: trueen la extensiónkeyUsage.
Esto aún se considera un conflicto porque el servicio de la AC considera la extensión completa como una sola unidad y verifica si la extensión se define en ambos lugares, no los valores específicos dentro de la extensión.
Para evitar conflictos, asegúrate de definir cada extensión solo una vez, ya sea en la política de emisión de tu grupo de AC o en la plantilla de certificado, pero no en ambas. Esto garantiza la claridad y evita fallas inesperadas en la emisión de certificados.
Restricciones de extensiones y valores de referencia en conflicto
Un conflicto de políticas ocurre cuando las restricciones de extensión de una política entran en conflicto con los valores del modelo de referencia de otra. Esto sucede en los siguientes casos:
- Una política restringe o prohíbe una extensión: Esto puede ser a través de una exclusión general de todas las extensiones o una lista específica de extensiones permitidas que no incluya la extensión en cuestión.
- Otra política requiere esa misma extensión: Esto significa que la segunda política tiene un valor de referencia definido para esa extensión específica.
Ejemplo:
- Política de emisión: Tiene restricciones de extensión que solo permiten la extensión
keyUsage. - Plantilla de certificado: Requiere la extensión
certificatePoliciesen sus valores de referencia.
Esto genera un conflicto porque la política de emisión prohíbe efectivamente la
extensión certificatePolicies, mientras que la plantilla de certificado la requiere.
Cuando definas tus políticas, considera cuidadosamente los valores de referencia y las restricciones de extensión para asegurarte de que funcionen en conjunto. Evita situaciones en las que una política restrinja una extensión que otra requiera. Esto evita conflictos y garantiza la emisión fluida de certificados.
Conflictos de expresiones de Common Expression Language (CEL)
Si usas Common Expression Language (CEL) para un control detallado, las expresiones en conflicto en la plantilla de certificado y la política de emisión pueden causar conflictos.
Estos conflictos no permiten que se emitan certificados del grupo de AC. Por ejemplo, puedes tener una expresión que requiera que un nombre de dominio termine en .example.com y otra que requiera que termine en .example.net. Dado que estas dos expresiones de CEL
imponen restricciones diferentes en el mismo campo, todas las solicitudes de emisión de certificados fallan.
Si usas políticas de emisión de certificados y plantillas de certificados, te recomendamos que te asegures de que sus expresiones de CEL no entren en conflicto.
En todos estos casos, la API de CA Service muestra un error de argumento no válido.
Cómo resolver conflictos de políticas
Cuando la API de CA Service detecta un conflicto de políticas, muestra un error de argumento no válido y falla la solicitud de certificado. Para ver y resolver los conflictos de políticas, sigue estos pasos:
- Haz clic en el vínculo Solucionador de problemas de políticas de emisión que se muestra con el mensaje de error. Aparecerá una página del solucionador de problemas en la que puedes comparar los valores de referencia y las restricciones de extensión de la política de emisión del grupo de AC con los valores de referencia y las restricciones de extensión de la plantilla de certificado. Ten en cuenta que los conflictos de políticas están destacados.
- Accede al grupo de AC o a la plantilla de certificado para actualizar los valores en conflicto y resolver el problema.
Una vez que se resuelva el conflicto, vuelve a enviar la solicitud de certificado.