Descripción general de los controles de políticas

Los controles de políticas aplican estándares para el funcionamiento de la autoridad certificadora (AC) y los certificados que emite. Los controles de políticas son las reglas y restricciones que estableces para definir cómo la AC emitirá los certificados, qué parámetros se pueden incluir en una solicitud y qué valores se aceptan. En Certificate Authority Service, los controles de políticas son de uno de los siguientes tipos:

• Políticas de alto nivel, como las políticas de emisión de certificados: Estas políticas se aplican a todo el grupo de AC y definen restricciones de alto nivel, como los tipos de claves permitidos, las duraciones de los certificados permitidas y las restricciones de asunto y nombre alternativo del asunto (SAN).

• Políticas detalladas, como las plantillas de certificados: Las plantillas de certificados te permiten definir qué tipos de certificados se pueden emitir y quién tiene la autoridad para hacerlo, lo que evita el uso inadecuado y mantiene la seguridad. Las plantillas de certificados ofrecen un control más detallado, ya que te permiten definir diferentes tipos de certificados para diferentes fines. Por ejemplo, puedes crear plantillas de certificados para casos de uso específicos, como certificados TLS para servidores web y certificados de firma de código para desarrolladores. También puedes crear plantillas para diferentes departamentos o equipos, lo que permite que cada equipo solicite certificados con los permisos específicos que necesita.

Además de las políticas de emisión de certificados y las plantillas de certificados, también puedes aplicar controles de políticas específicos, como las restricciones de nombres, para evitar que una AC emita certificados para entidades o dominios no autorizados.

Información acerca de las políticas de emisión de certificados

Una política de emisión de certificados define los controles sobre todas las emisiones de certificados dentro de un grupo de AC. Un administrador de AC puede adjuntar una política de emisión de certificados a un grupo de AC para definir restricciones sobre el tipo de certificados que pueden emitir las AC del grupo. Las políticas de emisión de certificados te permiten hacer lo siguiente:

• Agrega restricciones sobre los sujetos y SAN permitidos que se pueden solicitar. Esto valida quién o qué se puede identificar en el certificado, como permitir solo certificados para el dominio de tu empresa.
• Define restricciones en las identidades de los certificados, sus duraciones, los tipos de claves y los modos de solicitud de certificados.
• Agrega extensiones X.509 específicas a todos los certificados emitidos.

Te recomendamos que uses una política de emisión de certificados cuando se aplique una de las siguientes situaciones o ambas:

1. Tu grupo de AC está diseñado para emitir certificados según un solo perfil bien definido. Por ejemplo, tienes un grupo de AC dedicado que emite certificados solo para los servidores web internos de tu empresa. Todos estos certificados necesitan los mismos parámetros básicos.

   • Todos los certificados emitidos tienen O=My organization en el asunto.
   • Todos los nombres de DNS terminan con .cymbalgroup.com.
   • Tienen una validez de 1 año.

   Una política de emisión de certificados aplica estas reglas y garantiza que cada certificado emitido desde este grupo de AC cumpla con este perfil.

2. Quieres definir un modelo de referencia común para las extensiones X.509 y las restricciones adicionales que se aplican a todos los perfiles de emisión de certificados. Por ejemplo, tienes diferentes tipos de certificados, como certificados de firma de correo electrónico de los empleados (válidos por 2 años) y certificados TLS para sitios web públicos (válidos por 1 año). Puedes definir una política de emisión de referencia que se aplique a todos los certificados:

   • Todos los certificados deben incluir el nombre de la empresa en el asunto.
   • Todos deben usar un conjunto específico de extensiones X.509 para los estándares de seguridad de tu organización.

   Luego, puedes usar plantillas de certificados para definir las variaciones específicas de cada tipo de certificado sobre ese modelo de referencia.

Para obtener información sobre cómo agregar una política de emisión de certificados, consulta Agrega una política de emisión de certificados a un grupo de AC.

Acerca de las plantillas de certificados

Una plantilla de certificado representa un esquema de emisión de certificados relativamente estático y bien definido dentro de una organización. Cuando se usan plantillas de certificados, los certificados emitidos desde varios grupos de AC comparten el mismo formato y las mismas propiedades, independientemente de la AC emisora. El recurso CertificateTemplate incluye lo siguiente:

• Es una expresión de Common Expression Language (CEL) que se evalúa en función del sujeto solicitado y las SAN en todas las solicitudes de certificados que usan la plantilla. Para obtener más información sobre el uso de CEL, consulta Cómo usar CEL.
• Una lista de entidades permitidas que especifique si el asunto o el nombre alternativo del asunto se puede copiar de la solicitud del usuario final al certificado emitido.
• Una lista de entidades permitidas opcional que especifica qué extensiones X.509, si las hay, se pueden kopar de la solicitud del usuario final al certificado emitido.
• Un conjunto opcional de valores de extensión X.509 que se agregan a todos los certificados emitidos que usan la plantilla.

Una plantilla de certificado puede convertirse en un marco de trabajo completo para la emisión de certificados verticales. Para obtener más detalles, consulta la definición completa del mensaje CertificateTemplate.

Puedes usar una plantilla de certificado cuando tienes una situación de emisión de certificados bien definida. Puedes usar plantillas de certificados para habilitar la coherencia entre los certificados emitidos de diferentes grupos de AC. También puedes usar una plantilla de certificado para restringir los tipos de certificados que pueden emitir diferentes personas.

También puedes usar una combinación de plantillas de certificados y vinculaciones de roles condicionales de Identity and Access Management (IAM) para definir restricciones que se apliquen a las solicitudes de certificados que realizan cuentas de servicio específicas. Por ejemplo, puedes crear una plantilla de certificado que solo permita nombres de DNS que terminen con .altostrat.com. Luego, puedes agregar una vinculación de roles condicional para otorgarle a la cuenta de servicio my-service-account@my-project.iam.gserviceaccount.com permiso para usar solo esa plantilla cuando solicite certificados de un grupo de AC específico. Esto limita la cuenta de servicio a emitir certificados con esa restricción específica de SAN.

Para obtener información sobre cómo crear plantillas de certificados, consulta Crea una plantilla de certificado.

Restricciones de nombres de certificados de la AC

El servicio de AC aplica restricciones de nombre en los certificados de AC, como se define en la sección Restricciones de nombre del documento RFC 5280. Las restricciones de nombres te permiten controlar qué nombres se permiten o se excluyen en los certificados emitidos por las AC.

Las restricciones de nombres se implementan con la extensión de restricciones de nombres en los certificados X.509. Esta extensión te permite especificar espacios de nombres permitidos y excluidos para varios tipos de nombres, como nombres de DNS, direcciones IP, direcciones de correo electrónico y URLs.

Por ejemplo, puedes crear una AC con restricciones de nombre para aplicar las siguientes condiciones:

• Solo se pueden usar myownpersonaldomain.com y sus subdominios como nombres de DNS.
• examplepetstore.com y sus subdominios están prohibidos como nombres de DNS.

Las restricciones de nombres se definen en el propio certificado de la AC. Esto significa que cualquier certificado que emita esa AC estará sujeto a estas restricciones. Cuando una AC emite un certificado, verifica el nombre de asunto solicitado y cualquier nombre alternativo de asunto (SAN) en función de las restricciones de nombres definidas. Si algún nombre incumple las restricciones, se rechaza la emisión del certificado.

Puedes especificar restricciones de nombres solo cuando creas la AC.

Beneficios de usar controles de políticas

Los controles de políticas te ayudan a lograr lo siguiente:

• Mejora la seguridad limitando los tipos de certificados que se pueden emitir y reduciendo el riesgo de que se creen y usen certificados no autorizados.
• Cumple con los requisitos reglamentarios y las prácticas recomendadas de la industria para la administración de certificados.
• Reduce el esfuerzo manual y los posibles errores. Las plantillas de certificados facilitan la emisión de certificados de forma coherente y eficiente.
• Establece la confianza, ya que las políticas claramente definidas y los controles sólidos aumentan la confianza en los certificados que emites.

Aplicación de controles de políticas

Cuando alguien solicita un certificado, el servicio de AC evalúa estos controles de políticas en los siguientes niveles:

1. Permisos de administración de identidades y accesos (IAM): En primer lugar, el servicio verifica si el solicitante tiene los permisos de IAM necesarios para crear certificados o usar la plantilla de certificado especificada. Esto garantiza que solo los usuarios autorizados puedan obtener certificados.

2. Política de emisión de certificados: Luego, el servicio valida la solicitud de certificado según la política de emisión del grupo de AC. Esto garantiza que la solicitud cumpla con los requisitos generales de los certificados emitidos por esa AC.

3. Plantilla de certificado: Si se usa una plantilla, la solicitud se valida con mayor detalle según las restricciones específicas de la plantilla. Esto garantiza que el certificado sea apropiado para el uso previsto.

Las extensiones X.509 de la política de emisión de certificados del grupo de AC y la plantilla de certificado se agregan al certificado, y se omiten ciertos valores según esas mismas políticas. Antes de firmar el certificado, las restricciones de nombres en los certificados de AC se validan en función del certificado para garantizar que el sujeto cumpla con los requisitos.

Conflictos de políticas

Cuando se usan diferentes mecanismos de control de políticas en conjunto, existe la posibilidad de que las políticas en diferentes niveles entren en conflicto. Por ejemplo, una plantilla de certificado podría permitir un tipo de clave (como ECDSA) que la política de emisión del grupo de AC prohíbe. O bien la plantilla de certificado y la política de emisión pueden especificar valores diferentes para la misma extensión X.509.

Para obtener información sobre cómo administrar conflictos de políticas en CA Service, consulta Acerca de los conflictos de políticas.

¿Qué sigue?

• Obtén más información para implementar controles de políticas.
• Obtén información para usar Common Expression Language (CEL).