Halaman ini diterjemahkan oleh Cloud Translation API.

Menghindari dan menyelesaikan konflik kebijakan

Kebijakan di Layanan Certificate Authority dapat berupa kebijakan penerbitan kumpulan CA atau template sertifikat. Kebijakan penerbitan sertifikat menetapkan aturan umum untuk kumpulan CA, sedangkan template sertifikat memberikan petunjuk yang lebih spesifik untuk berbagai jenis sertifikat. Untuk mempelajari kontrol kebijakan, lihat Tentang kontrol kebijakan. Kebijakan memiliki dua bagian utama:

Nilai dasar pengukuran: Nilai dasar pengukuran (juga dikenal sebagai nilai standar) adalah setelan wajib untuk semua sertifikat yang dikeluarkan oleh kebijakan tertentu. Misalnya, Anda mungkin memiliki kebijakan yang menyatakan, "Setiap sertifikat yang diterbitkan berdasarkan kebijakan ini harus mengaktifkan tanda digitalSignature di ekstensi keyUsage". Hal ini memastikan bahwa semua sertifikat yang dikeluarkan oleh kebijakan ini dapat digunakan untuk tanda tangan digital.
Batasan ekstensi: Batasan ekstensi membatasi ekstensi yang dapat ditambahkan ke sertifikat di luar kebijakan itu sendiri. Misalnya, kebijakan mungkin menyatakan, "Hanya ekstensi AIA-OCSP yang diizinkan untuk ditambahkan ke sertifikat di luar kebijakan ini". Artinya, jika seseorang mencoba menambahkan ekstensi lain (seperti Subject Alternative Name) melalui kebijakan yang berbeda atau langsung dalam permintaan sertifikat, ekstensi tersebut akan diabaikan.

Saat Anda meminta sertifikat, kumpulan CA akan menggunakan template yang ditentukan untuk membuat sertifikat. Namun, kebijakan penerbitan yang dilampirkan ke kumpulan CA juga mengevaluasi permintaan berdasarkan aturannya sendiri. Konflik terjadi saat setelan dalam template sertifikat bertentangan dengan setelan dalam kebijakan penerbitan sertifikat yang ditambahkan ke kumpulan CA karena keduanya mencoba menerapkan aturan pada sertifikat yang sama. Berikut beberapa kemungkinan skenario:

Definisi ekstensi yang tumpang tindih

Konflik terjadi saat ekstensi yang sama ditentukan dalam nilai dasar dari kedua kebijakan. Misalnya, jika Anda menentukan ekstensi keyUsage yang sama dalam kebijakan penerbitan kumpulan CA dan template sertifikat Anda, Layanan Otoritas Sertifikasi akan mendeteksinya sebagai konflik meskipun Anda menentukan bagian ekstensi yang berbeda di setiap tempat.

Contoh:

Kebijakan penerbitan: Memerlukan digitalSignature: true di ekstensi keyUsage.
Template sertifikat: Memerlukan keyEncipherment: true di ekstensi keyUsage.

Hal ini masih dianggap sebagai konflik karena Layanan Certificate Authority menganggap seluruh ekstensi sebagai satu unit dan memeriksa apakah ekstensi ditentukan di kedua tempat, bukan nilai spesifik dalam ekstensi.

Untuk menghindari konflik, pastikan Anda menentukan setiap ekstensi hanya sekali, baik dalam kebijakan penerbitan kumpulan CA atau dalam template sertifikat, tetapi tidak keduanya. Hal ini memastikan kejelasan dan mencegah kegagalan penerbitan sertifikat yang tidak terduga.

Batasan ekstensi dan nilai dasar pengukuran yang bertentangan

Konflik kebijakan terjadi saat batasan ekstensi satu kebijakan bertentangan dengan nilai dasar pengukuran kebijakan lain. Hal ini terjadi dalam kasus berikut:

Satu kebijakan membatasi atau melarang ekstensi: Hal ini dapat dilakukan melalui pengecualian umum untuk semua ekstensi atau daftar spesifik ekstensi yang diizinkan yang tidak menyertakan ekstensi yang dimaksud.
Kebijakan lain memerlukan ekstensi yang sama: Artinya, kebijakan kedua memiliki nilai dasar pengukuran yang ditentukan untuk ekstensi tertentu tersebut.

Contoh:

Kebijakan penerbitan: Memiliki batasan ekstensi yang hanya mengizinkan ekstensi keyUsage.
Template sertifikat: Memerlukan ekstensi certificatePolicies dalam nilai dasar pengukurannya.

Hal ini menimbulkan konflik karena kebijakan penerbitan secara efektif melarang ekstensi certificatePolicies, sementara template sertifikat mewajibkannya.

Saat menentukan kebijakan, pertimbangkan dengan cermat nilai dasar pengukuran dan batasan ekstensi untuk memastikan keduanya berfungsi bersama. Hindari situasi saat satu kebijakan membatasi ekstensi yang diperlukan kebijakan lain. Hal ini mencegah konflik dan memastikan penerbitan sertifikat berjalan lancar.

Konflik ekspresi Common Expression Language (CEL)

Jika Anda menggunakan Common Expression Language (CEL) untuk kontrol terperinci, ekspresi yang bertentangan dalam template sertifikat dan kebijakan penerbitan dapat menyebabkan konflik. Konflik ini tidak mengizinkan sertifikat diterbitkan dari kumpulan CA. Misalnya, Anda mungkin memiliki satu ekspresi yang mewajibkan nama domain diakhiri dengan .example.com dan ekspresi lain yang mewajibkannya diakhiri dengan .example.net. Karena kedua ekspresi CEL ini menetapkan batasan yang berbeda pada kolom yang sama, semua permintaan penerbitan sertifikat akan gagal.

Jika Anda menggunakan kebijakan penerbitan sertifikat dan template sertifikat, sebaiknya pastikan ekspresi CEL-nya tidak bertentangan.

Dalam semua skenario ini, CA Service API menampilkan error argumen yang tidak valid.

Menyelesaikan konflik kebijakan

Saat CA Service API mendeteksi konflik kebijakan, API akan menampilkan error argumen yang tidak valid dan permintaan sertifikat akan gagal. Untuk melihat dan menyelesaikan konflik kebijakan, ikuti langkah-langkah berikut:

Klik link Pemecah masalah kebijakan penerbitan yang ditampilkan dengan pesan error. Halaman pemecah masalah akan muncul tempat Anda dapat membandingkan nilai dasar pengukuran dan batasan ekstensi dalam kebijakan penerbitan kumpulan CA dengan nilai dasar pengukuran dan batasan ekstensi dalam template sertifikat. Perhatikan bahwa konflik kebijakan ditandai.
Akses kumpulan CA atau template sertifikat untuk memperbarui nilai yang bertentangan dan menyelesaikan konflik.

Setelah konflik diselesaikan, kirim ulang permintaan sertifikat.

Langkah berikutnya

Membuat permintaan sertifikat