Présentation des modèles de certificats et des règles d'émission

Cette page présente l'implémentation de contrôles de stratégie dans Certificate Authority Service à l'aide de modèles de certificats, de règles d'émission et de contraintes de nom de certificat.

Les commandes de stratégie vous permettent de contrôler le type de certificats que votre pool d'autorités de certification peut émettre. Il existe deux types de contrôles de règles: à grain fin et à grain grossier. Les règles à grain fin appliquent des contraintes spécifiques au pool d'autorités de certification. Les stratégies précises déterminent les opérations qu'un utilisateur particulier peut effectuer sur un pool d'autorités de certification.

Modèles de certificats

Vous pouvez utiliser un modèle de certificat lorsque vous disposez d'un scénario d'émission de certificat bien défini. Vous pouvez utiliser des modèles de certificats pour assurer la cohérence entre les certificats émis à partir de différents pools d'autorités de certification. Vous pouvez également utiliser un modèle de certificat pour limiter les types de certificats que différentes personnes peuvent émettre.

Pour en savoir plus sur les modèles de certificats, consultez Créer un modèle de certificat.

Règles d'émission de certificats

Un gestionnaire d'autorités de certification peut associer une règle d'émission de certificats à un pool d'autorités de certification pour définir des restrictions sur le type de certificats que les autorités de certification du pool peuvent émettre. Une règle d'émission peut définir des restrictions sur les identités de certificat, la durée de vie des certificats, les types de clés, les modes de requête de certificat et les extensions X.509. La règle d'émission peut également contenir un ensemble d'extensions X.509 appliquées à toutes les demandes de certificat entrantes.

Les règles d'émission vous permettent d'appliquer certaines restrictions à l'ensemble du pool d'autorités de certification. Par exemple, vous pouvez utiliser une règle d'émission pour appliquer les conditions suivantes:

  • Tous les certificats émis contiennent O=My organization dans leur objet.
  • Tous les noms DNS se terminent par .my-org-domain.com.
  • Le pool d'autorités de certification ne peut émettre que des certificats TLS de serveur.

Si l'un ou les deux des cas suivants s'appliquent, nous vous recommandons d'utiliser une stratégie d'émission de certificats:

  1. Votre pool d'autorités de certification est destiné à émettre des certificats selon un profil unique et bien défini.
  2. Vous souhaitez définir une référence commune pour les extensions X.509 et les restrictions supplémentaires qui s'appliquent à tous les profils d'émission de certificats.

Pour en savoir plus sur les règles d'émission, consultez la section Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.

Contraintes de nom des certificats CA

Les CAS appliquent les contraintes de nom dans les certificats d'autorité de certification, comme défini dans la section sur les contraintes de nom de la RFC 5280. Il vous permet de contrôler les noms autorisés ou exclus dans les certificats émis par les autorités de certification.

Par exemple, vous pouvez créer une autorité de certification avec des contraintes de nom pour appliquer les conditions suivantes:

  • Seuls my-org-domain.com et ses sous-domaines peuvent être utilisés comme noms DNS.
  • untrusted-domain.com et ses sous-domaines ne sont pas autorisés en tant que noms DNS.

Les contraintes de nom sont destinées aux certificats d'autorité de certification. Elles ne peuvent être spécifiées que lors de la création de l'autorité de certification et ne peuvent pas être mises à jour par la suite.

Conflits de règles

Lorsque vous utilisez conjointement différents mécanismes de contrôle des règles, il est possible que des règles de différents niveaux soient en conflit. Cette section explique comment les contrôles de règles sont appliqués et fournit des conseils pour éviter les conflits de règles.

Application des règles

Lorsque vous demandez des certificats, les contrôles de stratégie sont évalués à différents niveaux.

Les liaisons conditionnelles IAM pour les attributs de requête sont évaluées en premier pour s'assurer que l'appelant dispose des autorisations requises pour créer des certificats ou utiliser des modèles de certificats.

Lors de la création du certificat, le pool d'autorités de certification et la stratégie d'émission du modèle de certificat sont validés par rapport à la demande de certificat normalisée. Les extensions X.509 de la règle d'émission de certificats du pool d'autorités de certification et du modèle de certificat sont ajoutées au certificat, et certaines valeurs peuvent être supprimées en fonction de ces mêmes règles.

Avant de signer le certificat, les contraintes de nom des certificats d'autorité de certification sont validées par rapport au certificat pour s'assurer que l'objet est conforme.

Conflits de règles d'émission

Vous trouverez ci-dessous une liste non exhaustive d'erreurs dans lesquelles la stratégie d'émission d'un modèle de certificat peut entrer en conflit avec la stratégie d'émission d'un pool d'autorités de certification.

  • Un modèle de certificat contient des valeurs prédéfinies interdites par le pool d'autorités de certification.
  • Un modèle de certificat contient des valeurs X.509 différentes de celles de référence du pool d'autorités de certification.

Dans tous ces cas, l'API renvoie une erreur d'argument non valide.

Conflits CEL

CEL permet d'implémenter diverses expressions. Il peut arriver que les expressions CEL du règlement d'émission du pool d'autorités de certification et du modèle de certificat soient en conflit. Ces conflits empêchent l'émission de certificats à partir du pool d'autorités de certification. Par exemple, imaginons qu'un pool d'autorités de certification comporte une expression CEL qui exige que le nom commun d'un certificat se termine par .example.com et que le modèle de certificat comporte une expression CEL qui exige que le nom commun d'un certificat se termine par .example.net. Étant donné que ces deux expressions CEL imposent des restrictions différentes sur le même champ, toutes les demandes d'émission de certificat échouent.

Si vous utilisez à la fois des règles d'émission de certificats et des modèles de certificats, nous vous recommandons de vous assurer que leurs expressions CEL ne sont pas en conflit.

Étape suivante