Ringkasan kontrol kebijakan

Kontrol kebijakan menerapkan standar untuk pengoperasian certificate authority (CA) dan sertifikat yang diterbitkan CA. Kontrol kebijakan adalah aturan dan batasan yang Anda terapkan untuk menentukan cara CA menerbitkan sertifikat dan parameter mana yang dapat disertakan dalam permintaan serta nilai mana yang diterima. Di Layanan Otoritas Sertifikasi, kontrol kebijakan adalah salah satu dari dua jenis:

  • Kebijakan tingkat tinggi seperti kebijakan penerbitan sertifikat: Kebijakan penerbitan sertifikat berlaku untuk seluruh kumpulan CA dan menentukan batasan tingkat tinggi seperti jenis kunci yang diizinkan, masa berlaku sertifikat yang diizinkan, dan batasan subjek dan Nama Alternatif Subjek (SAN).

  • Kebijakan terperinci seperti template sertifikat: Template sertifikat memungkinkan Anda menentukan jenis sertifikat yang dapat diterbitkan dan siapa yang memiliki wewenang untuk menerbitkannya, sehingga mencegah penyalahgunaan dan menjaga keamanan. Template sertifikat menawarkan kontrol yang lebih terperinci dengan memungkinkan Anda menentukan berbagai jenis sertifikat untuk tujuan yang berbeda. Misalnya, Anda dapat membuat template sertifikat untuk kasus penggunaan tertentu seperti sertifikat TLS untuk server web dan sertifikat penandatanganan kode untuk developer. Anda juga dapat membuat template untuk departemen atau tim yang berbeda, yang memungkinkan setiap tim meminta sertifikat dengan izin tertentu yang mereka butuhkan.

Selain kebijakan penerbitan sertifikat dan template sertifikat, Anda juga dapat menerapkan kontrol kebijakan tertentu seperti batasan nama untuk mencegah CA menerbitkan sertifikat untuk domain atau entitas yang tidak sah.

Tentang kebijakan penerbitan sertifikat

Kebijakan penerbitan sertifikat menentukan kontrol atas semua penerbitan sertifikat dalam kumpulan CA. Pengelola CA dapat melampirkan kebijakan penerbitan sertifikat ke kumpulan CA untuk menentukan batasan jenis sertifikat yang dapat ditetapkan oleh CA dalam kumpulan CA. Kebijakan penerbitan sertifikat membantu Anda melakukan hal berikut:

  • Tambahkan batasan pada subjek dan SAN yang diizinkan dan dapat diminta. Hal ini memvalidasi siapa atau apa yang dapat diidentifikasi dalam sertifikat, seperti hanya mengizinkan sertifikat untuk domain perusahaan Anda.
  • Tentukan batasan pada identitas sertifikat, masa berlaku sertifikat, jenis kunci, dan mode permintaan sertifikat.
  • Menambahkan ekstensi X.509 tertentu ke semua sertifikat yang diterbitkan.

Sebaiknya gunakan kebijakan penerbitan sertifikat jika salah satu atau kedua skenario berikut berlaku untuk Anda:

  1. Kumpulan CA Anda dirancang untuk menerbitkan sertifikat sesuai dengan satu profil yang ditentukan dengan baik. Misalnya, Anda memiliki kumpulan CA khusus yang hanya menerbitkan sertifikat untuk server web internal perusahaan Anda. Semua sertifikat ini memerlukan parameter dasar yang sama.

    • Semua sertifikat yang diterbitkan memiliki O=My organization dalam subjeknya.
    • Semua nama DNS diakhiri dengan .cymbalgroup.com.
    • Sertifikat ini berlaku selama 1 tahun.

    Kebijakan penerbitan sertifikat menerapkan aturan ini dan memastikan bahwa setiap sertifikat yang diterbitkan dari kumpulan CA ini mematuhi profil ini.

  2. Anda ingin menentukan dasar pengukuran umum untuk ekstensi X.509 dan batasan tambahan yang berlaku untuk semua profil penerbitan sertifikat. Misalnya, Anda memiliki berbagai jenis sertifikat seperti sertifikat penandatanganan email karyawan (valid selama 2 tahun) dan sertifikat TLS untuk situs yang ditampilkan kepada publik (valid selama 1 tahun). Anda dapat menentukan kebijakan penerbitan dasar pengukuran yang berlaku untuk semua sertifikat:

    • Semua sertifikat harus menyertakan nama perusahaan dalam subjek.
    • Semua harus menggunakan kumpulan ekstensi X.509 tertentu untuk standar keamanan organisasi Anda.

    Kemudian, Anda dapat menggunakan template sertifikat untuk menentukan variasi spesifik untuk setiap jenis sertifikat di atas dasar pengukuran tersebut.

Untuk informasi tentang cara menambahkan kebijakan penerbitan sertifikat, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

Tentang template sertifikat

Template sertifikat mewakili skema penerbitan sertifikat yang relatif statis dan ditentukan dengan baik dalam organisasi. Dengan menggunakan template sertifikat, sertifikat yang diterbitkan dari berbagai kumpulan CA memiliki format dan properti yang sama, terlepas dari CA penerbit. Resource CertificateTemplate mencakup hal berikut:

  • Ekspresi Common Expression Language (CEL) yang dievaluasi terhadap subjek dan SAN yang diminta dalam semua permintaan sertifikat yang menggunakan template. Untuk mengetahui informasi selengkapnya tentang penggunaan CEL, lihat Menggunakan CEL.
  • Daftar yang diizinkan yang menentukan apakah subjek atau nama alternatif subjek dapat dikopy dari permintaan pengguna akhir ke sertifikat yang diterbitkan.
  • Daftar yang diizinkan opsional yang menentukan ekstensi X.509 mana, jika ada, yang dapat dikopy dari permintaan pengguna akhir ke sertifikat yang diterbitkan.
  • Kumpulan nilai ekstensi X.509 opsional yang ditambahkan ke semua sertifikat yang dikeluarkan yang menggunakan template.

Template sertifikat dapat menjadi framework penerbitan sertifikat vertikal yang lengkap. Untuk mengetahui detail selengkapnya, lihat definisi pesan CertificateTemplate lengkap.

Anda dapat menggunakan template sertifikat jika memiliki skenario penerbitan sertifikat yang telah ditentukan dengan baik. Anda dapat menggunakan template sertifikat untuk memungkinkan konsistensi di seluruh sertifikat yang dikeluarkan dari berbagai kumpulan CA. Anda juga dapat menggunakan template sertifikat untuk membatasi jenis sertifikat yang dapat diterbitkan oleh berbagai individu.

Anda juga dapat menggunakan kombinasi template sertifikat dan binding peran bersyarat Identity and Access Management (IAM) untuk menentukan batasan yang berlaku untuk permintaan sertifikat yang dibuat oleh akun layanan tertentu. Misalnya, Anda dapat membuat template sertifikat yang hanya mengizinkan nama DNS yang diakhiri dengan .altostrat.com. Kemudian, Anda dapat menambahkan binding peran bersyarat untuk memberikan izin my-service-account@my-project.iam.gserviceaccount.com akun layanan agar hanya menggunakan template tersebut saat meminta sertifikat dari CA Pool tertentu. Hal ini membatasi akun layanan untuk menerbitkan sertifikat dengan batasan SAN tertentu tersebut.

Untuk mempelajari cara membuat template sertifikat, lihat Membuat template sertifikat.

Kendala nama sertifikat CA

Layanan CA menerapkan batasan nama dalam sertifikat CA seperti yang ditentukan di bagian Name Constraints dalam dokumen RFC 5280. Batasan nama memungkinkan Anda mengontrol nama yang diizinkan atau dikecualikan dalam sertifikat yang dikeluarkan dari CA.

Batasan nama diterapkan menggunakan ekstensi Batasan Nama dalam sertifikat X.509. Ekstensi ini memungkinkan Anda menentukan namespace yang diizinkan dan dikecualikan untuk berbagai bentuk nama, seperti nama DNS, Alamat IP, alamat email, dan URL.

Misalnya, Anda dapat membuat CA dengan batasan nama untuk menerapkan kondisi berikut:

  • Hanya myownpersonaldomain.com dan subdomainnya yang dapat digunakan sebagai nama DNS.
  • examplepetstore.com dan subdomainnya dilarang sebagai nama DNS.

Batasan nama ditentukan dalam sertifikat CA sendiri. Artinya, setiap sertifikat yang diterbitkan oleh CA tersebut terikat oleh batasan ini. Saat menerbitkan sertifikat, CA akan memeriksa nama subjek yang diminta dan Nama Alternatif Subjek (SAN) apa pun terhadap batasan nama yang ditentukan. Jika ada nama yang melanggar batasan, penerbitan sertifikat akan ditolak.

Anda hanya dapat menentukan batasan nama pada saat membuat CA.

Manfaat menggunakan kontrol kebijakan

Kontrol kebijakan membantu Anda mencapai hal berikut:

  • Tingkatkan keamanan dengan membatasi jenis sertifikat yang dapat diterbitkan dan dengan mengurangi risiko sertifikat tidak sah yang dibuat dan disalahgunakan.
  • Memenuhi persyaratan peraturan dan praktik terbaik industri untuk pengelolaan sertifikat.
  • Mengurangi upaya manual dan potensi error. Template sertifikat memudahkan penerbitan sertifikat secara konsisten dan efisien.
  • Bangun kepercayaan karena kebijakan yang ditentukan dengan jelas dan kontrol yang kuat akan meningkatkan kepercayaan pada sertifikat yang Anda terbitkan.

Menerapkan kontrol kebijakan

Saat seseorang meminta sertifikat, CA Service mengevaluasi kontrol kebijakan ini di tingkat berikut:

  1. Izin Identity and Access Management (IAM): Pertama, layanan akan memeriksa apakah pemohon memiliki izin IAM yang diperlukan untuk membuat sertifikat atau menggunakan template sertifikat yang ditentukan. Hal ini memastikan bahwa hanya pengguna yang diotorisasi yang dapat mendapatkan sertifikat.

  2. Kebijakan penerbitan sertifikat: Layanan kemudian memvalidasi permintaan sertifikat terhadap kebijakan penerbitan kumpulan CA. Hal ini memastikan bahwa permintaan tersebut memenuhi persyaratan umum untuk sertifikat yang dikeluarkan dari CA tersebut.

  3. Template sertifikat: Jika template digunakan, permintaan akan divalidasi lebih lanjut terhadap batasan spesifik template. Hal ini memastikan bahwa sertifikat sesuai untuk penggunaan yang dimaksud.

Ekstensi X.509 dari kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat ditambahkan ke sertifikat, dan nilai tertentu dihapus berdasarkan kebijakan yang sama. Sebelum menandatangani sertifikat, batasan nama dalam sertifikat CA divalidasi terhadap sertifikat untuk memastikan subjek mematuhi.

Konflik kebijakan

Saat menggunakan mekanisme kontrol kebijakan yang berbeda secara bersamaan, ada kemungkinan kebijakan di berbagai tingkat dapat bertentangan. Misalnya, template sertifikat mungkin mengizinkan jenis kunci (seperti ECDSA) yang dilarang oleh kebijakan penerbitan kumpulan CA. Atau, template sertifikat dan kebijakan penerbitan mungkin menentukan nilai yang berbeda untuk ekstensi X.509 yang sama.

Untuk mempelajari cara mengelola konflik kebijakan di Layanan CA, lihat Tentang konflik kebijakan.

Langkah berikutnya