Descripción general de las plantillas de certificados y las políticas de emisión

En esta página, se proporciona una descripción general de la implementación de controles de políticas en Certificate Authority Service con plantillas de certificados, políticas de emisión y restricciones de nombres de certificados.

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de autoridades certificadoras (AC). Los controles de políticas son de dos tipos: detallados y generales. Las políticas de grano grueso aplican restricciones específicas del grupo de AC. Las políticas detalladas determinan las operaciones que un usuario en particular puede realizar en un grupo de AC.

Plantillas de certificado

Puedes usar una plantilla de certificado cuando tienes una situación de emisión de certificados bien definida. Puedes usar plantillas de certificados para habilitar la coherencia entre los certificados emitidos desde diferentes grupos de AC. También puedes usar una plantilla de certificado para restringir los tipos de certificados que pueden emitir diferentes personas.

Para obtener información sobre las plantillas de certificados, consulta Crea una plantilla de certificado.

Políticas de emisión de certificados

Un administrador de AC puede adjuntar una política de emisión de certificados a un grupo de AC para definir restricciones sobre el tipo de certificados que pueden emitir las AC del grupo. Una política de emisión puede definir restricciones en las identidades de los certificados, sus duraciones, los tipos de claves, los modos de solicitud de certificado y las extensiones X.509. La política de emisión también puede contener un conjunto de extensiones X.509 que se aplican a todas las solicitudes de certificados entrantes.

Las políticas de emisión te permiten aplicar ciertas restricciones en todo el grupo de AC. Por ejemplo, puedes usar una política de emisión para aplicar las siguientes condiciones:

  • Todos los certificados emitidos tienen O=My organization en el asunto.
  • Todos los nombres de DNS terminan con .my-org-domain.com.
  • El grupo de AC solo puede emitir certificados TLS del servidor.

Si se aplica uno o ambos de los siguientes casos, te recomendamos que uses una política de emisión de certificados:

  1. El objetivo de tu grupo de AC es emitir certificados según un solo perfil bien definido.
  2. Quieres definir un modelo de referencia común para las extensiones X.509 y las restricciones adicionales que se aplican a todos los perfiles de emisión de certificados.

Para obtener más información sobre las políticas de emisión, consulta Cómo agregar una política de emisión de certificados a un grupo de AC.

Restricciones de nombres de certificados de la AC

Los CAS aplican restricciones de nombre en los certificados de AC, como se define en la sección de restricciones de nombre de la RFC 5280. Te permite controlar qué nombres se permiten o se excluyen en los certificados emitidos por las AC.

Por ejemplo, puedes crear una AC con restricciones de nombre para aplicar las siguientes condiciones:

  • Solo se pueden usar my-org-domain.com y sus subdominios como nombres de DNS.
  • untrusted-domain.com y sus subdominios están prohibidos como nombres de DNS.

Las restricciones de nombres son para el certificado de la AC. Solo se pueden especificar durante la creación de la AC y no se pueden actualizar más adelante.

Conflictos de políticas

Cuando se usan diferentes mecanismos de control de políticas en conjunto, existe la posibilidad de que las políticas en diferentes niveles entren en conflicto. En esta sección, se describe cómo se aplican los controles de políticas y se proporciona orientación para evitar conflictos de políticas.

Aplicación de la política

Cuando se solicitan certificados, los controles de políticas se evalúan en diferentes capas.

Primero, se evalúan las vinculaciones condicionales de IAM para los atributos de solicitud para garantizar que el llamador tenga los permisos necesarios para crear certificados o usar plantillas de certificados.

Durante la creación del certificado, el grupo de AC y la política de emisión de plantillas de certificados se validan en función de la solicitud de certificado normalizada. Las extensiones X.509 de la política de emisión de certificados del grupo de AC y la plantilla de certificado se agregan al certificado, y ciertos valores se pueden descartar en función de esas mismas políticas.

Antes de firmar el certificado, las restricciones de nombres en los certificados de AC se validan en función del certificado para garantizar que el sujeto cumpla con los requisitos.

Conflictos de políticas de emisión

La siguiente es una lista no exhaustiva de errores en los que la política de emisión de una plantilla de certificado puede entrar en conflicto con la política de emisión de un grupo de AC.

  • Una plantilla de certificado contiene valores predefinidos que el grupo de AC prohíbe.
  • Una plantilla de certificado contiene valores X.509 diferentes de los valores de referencia del grupo de AC.

En todos estos casos, la API muestra un error de argumento no válido.

Conflictos de CEL

CEL permite implementar diversas expresiones. Puede haber situaciones en las que las expresiones CEL de la política de emisión del grupo de AC y de la plantilla de certificado entren en conflicto. Estos conflictos no permiten que se emitan certificados del grupo de AC. Por ejemplo, considera la situación en la que un grupo de AC tenía una expresión de CEL que aplicaba el nombre común de un certificado para que termine en .example.com y la plantilla de certificado tenía una expresión de CEL que aplicaba el nombre común de un certificado para que termine en .example.net. Dado que estas dos expresiones CEL establecen restricciones diferentes en el mismo campo, todas las solicitudes de emisión de certificados fallan.

Si usas políticas de emisión de certificados y plantillas de certificados, te recomendamos que te asegures de que sus expresiones de CEL no entren en conflicto.

¿Qué sigue?