Richtlinienkontrollen – Übersicht

Richtlinienkontrollen erzwingen Standards für den Betrieb der Zertifizierungsstelle (CA) und der von der CA ausgestellten Zertifikate. Richtliniensteuerungen sind die Regeln und Einschränkungen, die Sie festlegen, um zu definieren, wie die Zertifizierungsstelle Zertifikate ausstellt, welche Parameter in eine Anfrage aufgenommen werden können und welche Werte zulässig sind. Im Certificate Authority Service gibt es zwei Arten von Richtlinienkontrollen:

• Grobkörnige Richtlinien wie Richtlinien für die Zertifikatsausstellung: Richtlinien für die Zertifikatsausstellung gelten für den gesamten CA-Pool und definieren allgemeine Einschränkungen wie zulässige Schlüsseltypen, zulässige Zertifikatslaufzeiten und Einschränkungen für den Inhaber und den alternativen Inhabernamen (Subject Alternative Name, SAN).

• Detaillierte Richtlinien wie Zertifikatsvorlagen: Mit Zertifikatsvorlagen können Sie festlegen, welche Zertifikatstypen ausgestellt werden können und wer die Berechtigung dazu hat. So wird Missbrauch verhindert und die Sicherheit aufrechterhalten. Mit Zertifikatvorlagen können Sie verschiedene Zertifikatstypen für verschiedene Zwecke definieren und so die Kontrolle weiter verfeinern. Sie können beispielsweise Zertifikatvorlagen für bestimmte Anwendungsfälle erstellen, z. B. TLS-Zertifikate für Webserver und Codesignaturzertifikate für Entwickler. Sie können auch Vorlagen für verschiedene Abteilungen oder Teams erstellen, damit jedes Team Zertifikate mit den erforderlichen Berechtigungen anfordern kann.

Zusätzlich zu den Richtlinien für die Ausstellung von Zertifikaten und den Zertifikatsvorlagen können Sie auch bestimmte Richtliniensteuerungen wie Nameneinschränkungen erzwingen, um zu verhindern, dass eine Zertifizierungsstelle Zertifikate für nicht autorisierte Domains oder Entitäten ausstellt.

Zertifikatsausstellungsrichtlinien

Mit einer Richtlinie für die Zertifikatausstellung werden alle Zertifikate innerhalb eines CA-Pools gesteuert. Ein CA-Manager kann einem CA-Pool eine Richtlinie zur Zertifikatsausstellung zuweisen, um Einschränkungen für die Art der Zertifikate festzulegen, die die Zertifizierungsstellen im CA-Pool ausstellen können. Mit Zertifikatsausstellungsrichtlinien haben Sie folgende Möglichkeiten:

• Fügen Sie Einschränkungen für zulässige Betreff- und SANs hinzu, die angefordert werden können. So wird geprüft, wer oder was im Zertifikat identifiziert werden kann. Sie können beispielsweise festlegen, dass nur Zertifikate für die Domain Ihres Unternehmens zulässig sind.
• Sie können Einschränkungen für Zertifikatsidentitäten, Zertifikatslaufzeiten, Schlüsseltypen und Zertifikatsanfragemodi definieren.
• Fügen Sie allen ausgestellten Zertifikaten bestimmte X.509-Erweiterungen an.

Wir empfehlen die Verwendung einer Richtlinie für die Zertifikatsausstellung, wenn eines oder beide der folgenden Szenarien auf Sie zutreffen:

1. Ihr CA-Pool ist so konzipiert, dass Zertifikate gemäß einem einzigen, klar definierten Profil ausgestellt werden. Angenommen, Sie haben einen speziellen CA-Pool, der nur Zertifikate für die internen Webserver Ihres Unternehmens ausstellt. Für diese Zertifikate sind dieselben grundlegenden Parameter erforderlich.

   • Alle ausgestellten Zertifikate enthalten O=My organization im Subject.
   • Alle DNS-Namen enden auf .cymbalgroup.com.
   • Sie sind ein Jahr lang gültig.

   Eine Richtlinie für die Zertifikatsausstellung erzwingt diese Regeln und sorgt dafür, dass jedes Zertifikat, das von diesem CA-Pool ausgestellt wird, diesem Profil entspricht.

2. Sie möchten eine gemeinsame Baseline für X.509-Erweiterungen und zusätzliche Einschränkungen definieren, die für alle Profile zur Zertifikatsausstellung gelten. Sie haben beispielsweise verschiedene Arten von Zertifikaten, z. B. E-Mail-Signaturzertifikate für Mitarbeiter (gültig für 2 Jahre) und TLS-Zertifikate für öffentlich zugängliche Websites (gültig für 1 Jahr). Sie können eine Baseline-Richtlinie für die Ausstellung definieren, die für alle Zertifikate gilt:

   • Alle Zertifikate müssen den Namen des Unternehmens im Betreff enthalten.
   • Alle müssen eine bestimmte Reihe von X.509-Erweiterungen für die Sicherheitsstandards Ihrer Organisation verwenden.

   Anschließend können Sie mithilfe von Zertifikatsvorlagen die spezifischen Varianten für jeden Zertifikatstyp auf dieser Grundlage definieren.

Informationen zum Hinzufügen einer Zertifikatsausstellungsrichtlinie finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Zertifikatsvorlagen

Eine Zertifikatsvorlage stellt ein relativ statisches und gut definiertes Schema für die Ausstellung von Zertifikaten in einer Organisation dar. Wenn Sie Zertifikatsvorlagen verwenden, haben Zertifikate, die von verschiedenen CA-Pools ausgestellt wurden, unabhängig von der ausstellenden Zertifizierungsstelle dasselbe Format und dieselben Eigenschaften. Die CertificateTemplate-Ressource enthält Folgendes:

• Ein Common Expression Language (CEL)-Ausdruck, der in allen Zertifikatsanfragen, in denen die Vorlage verwendet wird, anhand des angeforderten Inhabers und der SANs ausgewertet wird. Weitere Informationen zur Verwendung von CEL finden Sie unter CEL verwenden.
• Eine Zulassungsliste, die angibt, ob der Inhaber oder der alternative Inhabername aus der Endnutzeranfrage in das ausgestellte Zertifikat kopiert werden kann.
• Eine optionale Zulassungsliste, die angibt, welche X.509-Erweiterungen (falls vorhanden) aus der Endnutzeranfrage in das ausgestellte Zertifikat kopiert werden können.
• Optionale X.509-Erweiterungswerte, die allen ausgestellten Zertifikaten hinzugefügt werden, die die Vorlage verwenden.

Eine Zertifikatsvorlage kann zu einem vollständigen vertikalen Framework für die Ausstellung von Zertifikaten werden. Weitere Informationen finden Sie in der vollständigen Nachrichtendefinition für CertificateTemplate.

Sie können eine Zertifikatsvorlage verwenden, wenn Sie ein klar definiertes Szenario für die Zertifikatsausstellung haben. Mithilfe von Zertifikatsvorlagen können Sie für Konsistenz bei Zertifikaten sorgen, die von verschiedenen CA-Pools ausgestellt wurden. Mit einer Zertifikatsvorlage können Sie auch die Arten von Zertifikaten einschränken, die von verschiedenen Personen ausgestellt werden können.

Sie können auch eine Kombination aus Zertifikatvorlagen und bedingten IAM-Rollenbindungen (Identity and Access Management) verwenden, um Einschränkungen für Zertifikatsanfragen zu definieren, die von bestimmten Dienstkonten gestellt werden. Sie können beispielsweise eine Zertifikatvorlage erstellen, die nur DNS-Namen zulässt, die auf .altostrat.com enden. Anschließend können Sie eine bedingte Rollenbindung hinzufügen, um dem Dienstkonto my-service-account@my-project.iam.gserviceaccount.com die Berechtigung zu erteilen, nur diese Vorlage zu verwenden, wenn Zertifikate von einem bestimmten CA-Pool angefordert werden. Dadurch wird das Dienstkonto auf die Ausstellung von Zertifikaten mit dieser bestimmten SAN-Einschränkung beschränkt.

Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Namenseinschränkungen für CA-Zertifikate

CA Service erzwingt Namenseinschränkungen in CA-Zertifikaten, wie im Abschnitt Name Constraints des RFC 5280-Dokuments definiert. Mit Namenseinschränkungen können Sie festlegen, welche Namen in von Zertifizierungsstellen ausgestellten Zertifikaten zulässig oder ausgeschlossen sind.

Namenseinschränkungen werden mit der Erweiterung „Name Constraints“ in X.509-Zertifikaten implementiert. Mit dieser Erweiterung können Sie zulässige und ausgeschlossene Namespaces für verschiedene Namensformen angeben, z. B. DNS-Namen, IP-Adressen, E-Mail-Adressen und URLs.

Sie können beispielsweise eine CA mit Namenseinschränkungen erstellen, um die folgenden Bedingungen durchzusetzen:

• Als DNS-Namen können nur myownpersonaldomain.com und seine Subdomains verwendet werden.
• examplepetstore.com und seine Subdomains sind als DNS-Namen nicht zulässig.

Namenseinschränkungen werden im eigenen Zertifikat der Zertifizierungsstelle definiert. Das bedeutet, dass alle von dieser Zertifizierungsstelle ausgestellten Zertifikate an diese Einschränkungen gebunden sind. Wenn eine Zertifizierungsstelle ein Zertifikat ausstellt, prüft sie den angeforderten Namen des Antragstellers und alle alternativen Namen (Subject Alternative Names, SANs) anhand der definierten Namensbeschränkungen. Wenn ein Name gegen die Einschränkungen verstößt, wird die Zertifikatsausstellung abgelehnt.

Sie können Namensbeschränkungen nur beim Erstellen der Zertifizierungsstelle angeben.

Vorteile von Richtliniensteuerungen

Mit Richtliniensteuerungen können Sie Folgendes erreichen:

• Sie können die Sicherheit verbessern, indem Sie einschränken, welche Arten von Zertifikaten ausgestellt werden können, und das Risiko verringern, dass nicht autorisierte Zertifikate erstellt und missbraucht werden.
• Sie erfüllen die behördlichen Anforderungen und Best Practices der Branche für die Zertifikatsverwaltung.
• Manuellen Aufwand und potenzielle Fehler reduzieren. Mit Zertifikatvorlagen können Sie Zertifikate einfacher und effizienter ausstellen.
• Sie können Vertrauen aufbauen, da klar definierte Richtlinien und strenge Kontrollen das Vertrauen in die von Ihnen ausgestellten Zertifikate stärken.

Richtlinienkontrollen durchsetzen

Wenn jemand ein Zertifikat anfordert, prüft der CA Service diese Richtlinienkontrollen auf den folgenden Ebenen:

1. IAM-Berechtigungen (Identity and Access Management): Der Dienst prüft zuerst, ob der Antragsteller die erforderlichen IAM-Berechtigungen zum Erstellen von Zertifikaten oder zum Verwenden der angegebenen Zertifikatvorlage hat. So wird sichergestellt, dass nur autorisierte Nutzer Zertifikate erhalten können.

2. Richtlinie zur Zertifikatsausstellung: Der Dienst prüft dann die Zertifikatsanfrage anhand der Ausstellungsrichtlinie des CA-Pools. So wird sichergestellt, dass die Anfrage die allgemeinen Anforderungen an von dieser Zertifizierungsstelle ausgestellte Zertifikate erfüllt.

3. Zertifikatsvorlage: Wenn eine Vorlage verwendet wird, wird die Anfrage zusätzlich anhand der spezifischen Einschränkungen der Vorlage validiert. So wird sichergestellt, dass das Zertifikat für den vorgesehenen Zweck geeignet ist.

Dem Zertifikat werden X.509-Erweiterungen aus der Richtlinie zur Zertifikatausstellung des CA-Pools und der Zertifikatsvorlage hinzugefügt. Bestimmte Werte werden anhand derselben Richtlinien entfernt. Vor dem Signieren des Zertifikats werden die Namenseinschränkungen in CA-Zertifikaten anhand des Zertifikats geprüft, um sicherzustellen, dass das Subjekt konform ist.

Richtlinienkonflikte

Wenn Sie verschiedene Mechanismen zur Richtliniensteuerung kombinieren, kann es zu Konflikten zwischen Richtlinien auf verschiedenen Ebenen kommen. Eine Zertifikatsvorlage kann beispielsweise einen Schlüsseltyp zulassen (z. B. ECDSA), der gemäß der Ausstellungsrichtlinie des CA-Pools verboten ist. Möglicherweise geben die Zertifikatvorlage und die Ausstellungsrichtlinie unterschiedliche Werte für dieselbe X.509-Erweiterung an.

Informationen zum Verwalten von Richtlinienkonflikten im CA Service finden Sie unter Richtlinienkonflikte.

Nächste Schritte

• Weitere Informationen zum Implementieren von Richtliniensteuerungen
• Weitere Informationen zur Verwendung der Common Expression Language (CEL)