Evitare e risolvere i conflitti di norme
Un criterio in Certificate Authority Service può essere un criterio di emissione di un pool di CA o un modello di certificato. I criteri di emissione dei certificati impostano le regole generali per un pool di CA, mentre i modelli di certificato forniscono istruzioni più specifiche per diversi tipi di certificati. Per scoprire di più sui controlli delle norme, consulta Informazioni sui controlli delle norme. Un criterio è composto da due parti principali:
Valori di riferimento: i valori di riferimento (noti anche come valori predefiniti) sono impostazioni obbligatorie per tutti i certificati emessi da un criterio specifico. Ad esempio, potresti avere un criterio che dice: "Ogni certificato emesso in base a questo criterio deve avere il flag
digitalSignatureabilitato nell'estensionekeyUsage". In questo modo, tutti i certificati emessi da questo criterio possono essere utilizzati per le firme digitali.Vincoli delle estensioni: i vincoli delle estensioni limitano le estensioni che possono essere aggiunte ai certificati al di fuori del criterio stesso. Ad esempio, un criterio potrebbe indicare: "È consentito aggiungere solo l'estensione AIA-OCSP ai certificati al di fuori di questo criterio". Ciò significa che se qualcuno tenta di aggiungere altre estensioni (come il nome alternativo dell'oggetto) tramite un criterio diverso o direttamente nella richiesta del certificato, queste estensioni vengono ignorate.
Quando richiedi un certificato, il pool di CA utilizza il modello specificato per crearlo. Tuttavia, le norme di emissione associate al pool di CA valutano anche la richiesta in base alle proprie regole. I conflitti si verificano quando le impostazioni di un modello di certificato contraddicono le impostazioni del criterio di emissione dei certificati aggiunto al pool di CA perché entrambi tentano di applicare regole allo stesso certificato. Ecco alcuni possibili scenari:
Definizioni di estensioni sovrapposte
I conflitti si verificano quando la stessa estensione è definita nei valori di riferimento di entrambi i criteri. Ad esempio, se definisci la stessa estensione keyUsage nel criterio di emissione del pool di CA e nel modello di certificato, il servizio Certificate Authority Service lo rileva come un conflitto anche se specifichi parti diverse dell'estensione in ogni posizione.
Esempio:
- Norme di emissione: è richiesto
digitalSignature: truenell'estensionekeyUsage. - Modello di certificato: richiede
keyEncipherment: truenell'estensionekeyUsage.
Questo viene comunque considerato un conflitto perché il servizio Certificate Authority considera l'intera estensione come una singola unità e controlla se l'estensione è definita in entrambi i punti, non i valori specifici all'interno dell'estensione.
Per evitare conflitti, assicurati di definire ogni estensione una sola volta, nel criterio di emissione del pool CA o nel modello di certificato, ma non in entrambi. In questo modo, viene garantita la chiarezza e si evitano errori imprevisti di emissione dei certificati.
Vincoli delle estensioni e valori di riferimento in conflitto
Un conflitto di criteri si verifica quando i vincoli di estensione di un criterio sono in conflitto con i valori di riferimento di un altro criterio. Ciò si verifica nei seguenti casi:
- Un criterio limita o vieta un'estensione: ad esempio, tramite un'esclusione generale di tutte le estensioni o un elenco specifico di estensioni consentite che non include l'estensione in questione.
- Un altro criterio richiede la stessa estensione: significa che il secondo criterio ha un valore di riferimento definito per quella specifica estensione.
Esempio:
- Criterio di emissione: presenta vincoli di estensione che consentono solo l'estensione
keyUsage. - Modello di certificato: richiede l'estensione
certificatePoliciesnei valori di riferimento.
Ciò crea un conflitto perché il criterio di emissione vieta effettivamente l'estensionecertificatePolicies, mentre il modello di certificato lo richiede.
Quando definisci i criteri, valuta attentamente sia i valori di riferimento sia i vincoli di estensione per assicurarti che funzionino insieme. Evita situazioni in cui un criterio limita un'estensione richiesta da un altro criterio. In questo modo si evitano conflitti e si garantisce un'emissione regolare dei certificati.
Conflitti di espressioni Common Expression Language (CEL)
Se utilizzi il linguaggio Common Expression Language (CEL) per un controllo granulare, le espressioni in conflitto nel modello di certificato e nel criterio di emissione possono causare conflitti.
Questi conflitti non consentono l'emissione di certificati dal pool di CA. Ad esempio,
potresti avere un'espressione che richiede che un nome di dominio finisca con .example.com e
un'altra che richiede che finisca con .example.net. Poiché queste due espressioni CEL
impongono limitazioni diverse allo stesso campo, tutte le richieste di emissione del certificato non vanno a buon fine.
Se utilizzi sia i criteri di emissione dei certificati sia i modelli di certificati, ti consigliamo di assicurarti che le relative espressioni CEL non entrino in conflitto.
In tutti questi scenari, l'API CA Service restituisce un errore di argomento non valido.
Risolvere i conflitti di norme
Quando l'API CA Service rileva un conflitto di criteri, restituisce un errore di argomento non valido e la richiesta del certificato non va a buon fine. Per visualizzare e risolvere i conflitti di norme:
- Fai clic sul link Strumento per la risoluzione dei problemi relativi alle norme relative al rilascio visualizzato con il messaggio di errore. Viene visualizzata una pagina per la risoluzione dei problemi in cui puoi confrontare i valori di riferimento e i vincoli delle estensioni nel criterio di emissione del pool di CA con i valori di riferimento e i vincoli delle estensioni nel modello di certificato. Tieni presente che i conflitti di norme sono evidenziati.
- Accedi al pool di CA o al modello di certificato per aggiornare i valori in conflitto e risolvere il conflitto.
Una volta risolto il conflitto, invia di nuovo la richiesta di certificato.