Información general sobre los controles de políticas

Las políticas controlan el cumplimiento de los estándares de funcionamiento de la autoridad de certificación (CA) y de los certificados que emite. Los controles de políticas son las reglas y restricciones que implementas para definir cómo emitirá certificados la AC, qué parámetros se pueden incluir en una solicitud y qué valores se aceptan. En el Servicio de Autoridades de Certificación, los controles de políticas son de dos tipos:

• Políticas de granularidad gruesa, como las políticas de emisión de certificados: las políticas de emisión de certificados se aplican a todo el conjunto de autoridades de certificación y definen restricciones de alto nivel, como los tipos de claves permitidos, los tiempos de validez de los certificados y las restricciones de nombre de sujeto y de nombre alternativo de sujeto (SAN).

• Políticas detalladas, como las plantillas de certificados: las plantillas de certificados te permiten definir qué tipos de certificados se pueden emitir y quién tiene autoridad para emitirlos, lo que evita el uso inadecuado y mantiene la seguridad. Las plantillas de certificados ofrecen un control más granular, ya que te permiten definir diferentes tipos de certificados para distintos fines. Por ejemplo, puedes crear plantillas de certificados para casos prácticos específicos, como certificados TLS para servidores web y certificados de firma de código para desarrolladores. También puedes crear plantillas para diferentes departamentos o equipos, de forma que cada equipo pueda solicitar certificados con los permisos específicos que necesite.

Además de las políticas de emisión de certificados y las plantillas de certificados, también puedes aplicar controles de políticas específicos, como las restricciones de nombres, para evitar que una AC emita certificados para dominios o entidades no autorizados.

Acerca de las políticas de emisión de certificados

Una política de emisión de certificados define los controles sobre toda la emisión de certificados en un grupo de ACs. Un administrador de AC puede adjuntar una política de emisión de certificados a un grupo de ACs para definir restricciones sobre el tipo de certificados que pueden emitir las ACs del grupo. Las políticas de emisión de certificados le ayudan a hacer lo siguiente:

• Añade restricciones sobre los nombres de asunto y SAN permitidos que se pueden solicitar. De esta forma, se valida quién o qué se puede identificar en el certificado, como permitir solo certificados para el dominio de tu empresa.
• Define restricciones en las identidades de los certificados, el tiempo de validez de los certificados, los tipos de clave y los modos de solicitud de certificados.
• Añadir extensiones X.509 específicas a todos los certificados emitidos.

Te recomendamos que utilices una política de emisión de certificados si se da uno de los siguientes casos o ambos:

1. Tu grupo de autoridades de certificación está diseñado para emitir certificados según un perfil único y bien definido. Por ejemplo, tienes un grupo de CAs específico que emite certificados solo para los servidores web internos de tu empresa. Todos estos certificados necesitan los mismos parámetros básicos.

   • Todos los certificados emitidos tienen O=My organization en el asunto.
   • Todos los nombres de DNS terminan en .cymbalgroup.com.
   • Tienen una validez de un año.

   Una política de emisión de certificados aplica estas reglas y asegura que todos los certificados emitidos desde este grupo de ACs se ajusten a este perfil.

2. Quieres definir una base común para las extensiones X.509 y las restricciones adicionales que se apliquen a todos los perfiles de emisión de certificados. Por ejemplo, tienes diferentes tipos de certificados, como certificados de firma de correo electrónico de empleados (válidos durante 2 años) y certificados TLS para sitios web públicos (válidos durante 1 año). Puedes definir una política de emisión de referencia que se aplique a todos los certificados:

   • Todos los certificados deben incluir el nombre de la empresa en el asunto.
   • Todos deben usar un conjunto específico de extensiones X.509 para cumplir los estándares de seguridad de tu organización.

   Después, puedes usar plantillas de certificados para definir las variaciones específicas de cada tipo de certificado a partir de esa base.

Para obtener información sobre cómo añadir una política de emisión de certificados, consulta Añadir una política de emisión de certificados a un grupo de CAs.

Acerca de las plantillas de certificados

Una plantilla de certificado representa un esquema de emisión de certificados relativamente estático y bien definido dentro de una organización. Al usar plantillas de certificados, los certificados emitidos desde varios grupos de autoridades de certificación comparten el mismo formato y las mismas propiedades, independientemente de la autoridad de certificación emisora. El recurso CertificateTemplate incluye lo siguiente:

• Una expresión de lenguaje de expresión común (CEL) que se evalúa en función del asunto y los SANs solicitados en todas las solicitudes de certificado que usan la plantilla. Para obtener más información sobre cómo usar CEL, consulta el artículo Usar CEL.
• Una lista de permitidos que especifica si el nombre alternativo del sujeto o del sujeto se puede copiar de la solicitud del usuario final al certificado emitido.
• Lista de permitidas opcional que especifica qué extensiones X.509, si las hay, se pueden copiar de la solicitud del usuario final al certificado emitido.
• Conjunto opcional de valores de extensión X.509 que se añaden a todos los certificados emitidos que usan la plantilla.

Una plantilla de certificado puede convertirse en un marco completo de emisión de certificados verticales. Para obtener más información, consulta la definición completa del mensaje CertificateTemplate.

Puedes usar una plantilla de certificado cuando tengas un escenario de emisión de certificados bien definido. Puedes usar plantillas de certificados para mantener la coherencia entre los certificados emitidos por diferentes grupos de AC. También puedes usar una plantilla de certificado para restringir los tipos de certificados que pueden emitir diferentes personas.

También puedes usar una combinación de plantillas de certificados y enlaces de roles condicionales de Gestión de Identidades y Accesos (IAM) para definir restricciones que se apliquen a las solicitudes de certificados realizadas por cuentas de servicio específicas. Por ejemplo, puedes crear una plantilla de certificado que solo permita nombres de DNS que terminen en .altostrat.com. Después, puedes añadir un enlace de rol condicional para conceder a la cuenta de servicio el permiso my-service-account@my-project.iam.gserviceaccount.com para usar solo esa plantilla al solicitar certificados de un grupo de ACs específico. De esta forma, la cuenta de servicio solo podrá emitir certificados con esa restricción SAN específica.

Para saber cómo crear plantillas de certificados, consulta Crear una plantilla de certificado.

Restricciones de nombres de certificado de AC

El servicio de AC aplica las restricciones de nombres en los certificados de AC tal como se definen en la sección Restricciones de nombres del documento RFC 5280. Las restricciones de nombres te permiten controlar qué nombres se permiten o se excluyen en los certificados emitidos por las autoridades de certificación.

Las restricciones de nombres se implementan mediante la extensión de restricciones de nombres de los certificados X.509. Esta extensión te permite especificar espacios de nombres permitidos y excluidos para varios formatos de nombres, como nombres de DNS, direcciones IP, direcciones de correo electrónico y URLs.

Por ejemplo, puedes crear una CA con restricciones de nombre para aplicar las siguientes condiciones:

• Solo se pueden usar myownpersonaldomain.com y sus subdominios como nombres de DNS.
• No se permiten examplepetstore.com ni sus subdominios como nombres de DNS.

Las restricciones de nombres se definen en el propio certificado de la AC. Esto significa que todos los certificados emitidos por esa AC están sujetos a estas restricciones. Cuando una CA emite un certificado, comprueba el nombre del sujeto solicitado y los nombres alternativos del sujeto (SANs) con las restricciones de nombre definidas. Si algún nombre infringe las restricciones, se rechaza la emisión del certificado.

Solo puede especificar restricciones de nombre al crear la autoridad certificadora.

Ventajas de usar los controles de políticas

Los controles de políticas te ayudan a conseguir lo siguiente:

• Mejorar la seguridad limitando los tipos de certificados que se pueden emitir y reduciendo el riesgo de que se creen y se usen de forma inadecuada certificados no autorizados.
• Cumplir los requisitos normativos y las prácticas recomendadas del sector para la gestión de certificados.
• Reduce el esfuerzo manual y los posibles errores. Las plantillas de certificados facilitan la emisión de certificados de forma coherente y eficiente.
• Genera confianza con políticas claramente definidas y controles sólidos para aumentar la confianza en los certificados que emites.

Aplicar controles de políticas

Cuando alguien solicita un certificado, el Servicio de Autoridades de Certificación evalúa estos controles de políticas en los siguientes niveles:

1. Permisos de gestión de identidades y accesos (IAM): en primer lugar, el servicio comprueba si el solicitante tiene los permisos de IAM necesarios para crear certificados o usar la plantilla de certificado especificada. De esta forma, solo los usuarios autorizados pueden obtener certificados.

2. Política de emisión de certificados: a continuación, el servicio valida la solicitud de certificado con la política de emisión del conjunto de ACs. De esta forma, se asegura de que la solicitud cumpla los requisitos generales de los certificados emitidos por esa CA.

3. Plantilla de certificado: si se usa una plantilla, la solicitud se valida aún más en función de las restricciones específicas de la plantilla. De esta forma, se asegura de que el certificado sea adecuado para el uso previsto.

Las extensiones X.509 de la política de emisión de certificados del grupo de ACs y de la plantilla de certificado se añaden al certificado, y se eliminan determinados valores en función de esas mismas políticas. Antes de firmar el certificado, las restricciones de nombre de los certificados de CA se validan con el certificado para asegurarse de que el asunto cumple los requisitos.

Conflictos de políticas

Cuando se usan diferentes mecanismos de control de políticas conjuntamente, es posible que las políticas de diferentes niveles entren en conflicto. Por ejemplo, una plantilla de certificado puede permitir un tipo de clave (como ECDSA) que la política de emisión del grupo de CAs prohíba. O bien, la plantilla de certificado y la política de emisión pueden especificar valores diferentes para la misma extensión X.509.

Para saber cómo gestionar los conflictos de políticas en el servicio de CA, consulta el artículo Acerca de los conflictos de políticas.

Siguientes pasos

• Consulta cómo implementar controles de políticas.
• Consulta información sobre cómo usar el lenguaje de expresión común (CEL).