Panoramica dei controlli dei criteri

I controlli dei criteri applicano gli standard per il funzionamento dell'autorità di certificazione (CA) e dei certificati emessi dalla CA. I controlli dei criteri sono le regole e le limitazioni messe in atto per definire in che modo l'AC emette i certificati, quali parametri possono essere inclusi in una richiesta e quali valori sono accettati. In Certificate Authority Service, esistono due tipi di controlli dei criteri:

• Criteri granulari, come i criteri di emissione dei certificati: i criteri di emissione dei certificati si applicano all'intero pool di CA e definiscono vincoli di alto livello come i tipi di chiavi consentiti, le durate dei certificati consentite e i vincoli relativi all'oggetto e al nome alternativo dell'oggetto (SAN).

• Criteri granulari come i modelli di certificato: i modelli di certificato ti consentono di definire quali tipi di certificato possono essere emessi e chi ha l'autorità per emettere i certificati, impedendo l'uso improprio e garantendo la sicurezza. I modelli di certificato offrono un controllo più granulare consentendoti di definire diversi tipi di certificati per finalità diverse. Ad esempio, puoi creare modelli di certificati per casi d'uso specifici, come i certificati TLS per i server web e i certificati di firma del codice per gli sviluppatori. Puoi anche creare modelli per diversi reparti o team, consentendo a ogni team di richiedere i certificati con le autorizzazioni specifiche di cui ha bisogno.

Oltre ai criteri di emissione dei certificati e ai modelli di certificati, puoi anche applicare controlli dei criteri specifici, come i vincoli relativi ai nomi, per impedire a una CA di emettere certificati per entità o domini non autorizzati.

Informazioni sui criteri di emissione dei certificati

Un criterio di emissione dei certificati definisce i controlli per tutte le emissioni di certificati all'interno di un pool di CA. Un gestore delle CA può associare un criterio di emissione dei certificati a un pool di CA per definire limitazioni sul tipo di certificati che le CA nel pool possono emettere. I criteri di emissione dei certificati ti consentono di:

• Aggiungi vincoli per gli oggetti e i SAN consentiti che possono essere richiesti. In questo modo viene convalidato chi o cosa può essere identificato nel certificato, ad esempio consentendo solo i certificati per il dominio della tua azienda.
• Definisci limitazioni per le identità dei certificati, le durate dei certificati, i tipi di chiavi e le modalità di richiesta dei certificati.
• Accoda estensioni X.509 specifiche a tutti i certificati emessi.

Ti consigliamo di utilizzare un criterio di emissione dei certificati se uno o entrambi i seguenti scenari si applicano al tuo caso:

1. Il pool di CA è progettato per emettere certificati in base a un singolo profilo ben definito. Ad esempio, hai un pool di CA dedicato che emette certificati solo per i server web interni della tua azienda. Tutti questi certificati richiedono gli stessi parametri di base.

   • Tutti i certificati emessi hanno O=My organization nell'oggetto.
   • Tutti i nomi DNS terminano con .cymbalgroup.com.
   • Sono valide per 1 anno.

   Un criterio di emissione dei certificati applica queste regole e garantisce che ogni certificato emesso da questo pool di CA rispetti questo profilo.

2. Vuoi definire una linea di base comune per le estensioni X.509 e le limitazioni aggiuntive che si applicano a tutti i profili di emissione dei certificati. Ad esempio, hai diversi tipi di certificati, come i certificati di firma email dei dipendenti (validi per 2 anni) e i certificati TLS per i siti web rivolti al pubblico (validi per 1 anno). Puoi definire un criterio di emissione di base che si applica a tutti i certificati:

   • Tutti i certificati devono includere il nome dell'azienda nell'oggetto.
   • Tutti devono utilizzare un insieme specifico di estensioni X.509 per gli standard di sicurezza della tua organizzazione.

   Poi, puoi utilizzare i modelli di certificato per definire le varianti specifiche per ogni tipo di certificato in base a questo riferimento.

Per informazioni sull'aggiunta di un criterio di emissione dei certificati, consulta Aggiungere un criterio di emissione dei certificati a un pool di CA.

Informazioni sui modelli di certificato

Un modello di certificato rappresenta uno schema di emissione di certificati relativamente statico e ben definito all'interno di un'organizzazione. Se utilizzi i modelli di certificato, i certificati emessi da vari pool di CA condividono lo stesso formato e le stesse proprietà, indipendentemente dalla CA emittente. La risorsa CertificateTemplate include:

• Un'espressione Common Expression Language (CEL) che viene valutata in base all'oggetto e ai SAN richiesti in tutte le richieste di certificato che utilizzano il modello. Per ulteriori informazioni sull'utilizzo di CEL, consulta la sezione Utilizzare CEL.
• Una lista consentita che specifica se l'oggetto o il nome alternativo dell'oggetto può essere copiato dalla richiesta dell'utente finale al certificato emesso.
• Una lista consentita facoltativa che specifica quali estensioni X.509, se presenti, possono essere copiate dalla richiesta dell'utente finale al certificato emesso.
• Un insieme facoltativo di valori delle estensioni X.509 che vengono aggiunti a tutti i certificati emessi che utilizzano il modello.

Un modello di certificato può diventare un framework completo per l'emissione di certificati verticali. Per maggiori dettagli, consulta la definizione completa del messaggio CertificateTemplate.

Puoi utilizzare un modello di certificato quando hai uno scenario di emissione dei certificati ben definito. Puoi utilizzare i modelli di certificato per garantire la coerenza tra i certificati emessi da pool di CA diversi. Puoi anche utilizzare un modello di certificato per limitare i tipi di certificati che persone diverse possono emettere.

Puoi anche utilizzare una combinazione di modelli di certificato e associazioni di ruoli condizionali di Identity and Access Management (IAM) per definire vincoli che si applicano alle richieste di certificato effettuate da account di servizio specifici. Ad esempio, puoi creare un modello di certificato che consenta solo nomi DNS che terminano con .altostrat.com. Poi, puoi aggiungere un'associazione di ruoli condizionale per concedere all'account di servizio my-service-account@my-project.iam.gserviceaccount.com l'autorizzazione a utilizzare solo quel modello quando richiede i certificati da un pool CA specifico. Ciò limita l'account di servizio all'emissione di certificati con questa specifica limitazione SAN.

Per scoprire come creare modelli di certificato, consulta l'articolo Creare un modello di certificato.

Vincoli relativi ai nomi dei certificati CA

Il servizio CA applica i vincoli relativi ai nomi nei certificati CA come definito nella sezione Vincoli relativi ai nomi del documento RFC 5280. I vincoli relativi ai nomi ti consentono di controllare quali nomi sono consentiti o esclusi nei certificati emessi dalle CA.

I vincoli relativi ai nomi vengono implementati utilizzando l'estensione Name Constraints nei certificati X.509. Questa estensione ti consente di specificare gli spazi dei nomi consentiti ed esclusi per vari formati di nomi, come nomi DNS, indirizzi IP, indirizzi email e URL.

Ad esempio, puoi creare una CA con vincoli di nome per applicare le seguenti condizioni:

• Solo myownpersonaldomain.com e i relativi sottodomini possono essere utilizzati come nomi DNS.
• examplepetstore.com e i relativi sottodomini sono vietati come nomi DNS.

I vincoli relativi ai nomi sono definiti nel certificato della CA. Ciò significa che tutti i certificati emessi da questa CA sono vincolati da questi vincoli. Quando una CA emette un certificato, controlla il nome dell'oggetto richiesto e gli eventuali nomi alternativi dell'oggetto (SAN) rispetto alle limitazioni dei nomi definite. Se un nome viola i vincoli, l'emissione del certificato viene rifiutata.

Puoi specificare i vincoli relativi ai nomi solo al momento della creazione della CA.

Vantaggi dell'utilizzo dei controlli dei criteri

I controlli delle norme ti consentono di:

• Migliora la sicurezza limitando i tipi di certificati che possono essere emessi e riducendo il rischio che i certificati non autorizzati vengano creati e utilizzati in modo improprio.
• Soddisfa i requisiti normativi e le best practice del settore per la gestione dei certificati.
• Riduci il lavoro manuale e i potenziali errori. I modelli di certificato semplificano l'emissione di certificati in modo coerente ed efficiente.
• Creare fiducia: norme chiaramente definite e controlli rigorosi aumentano la fiducia nei certificati che emetti.

Applicazione dei controlli dei criteri

Quando un utente richiede un certificato, il servizio CA valuta questi controlli in base ai seguenti livelli:

1. Autorizzazioni IAM (Gestione di identità e accessi): innanzitutto, il servizio controlla se l'utente che richiede il certificato ha le autorizzazioni IAM necessarie per creare i certificati o utilizzare il modello di certificato specificato. In questo modo, solo gli utenti autorizzati possono ottenere i certificati.

2. Norme di emissione dei certificati: il servizio convalida quindi la richiesta di certificato in base alle norme di emissione del pool di CA. In questo modo, la richiesta soddisfa i requisiti generali per i certificati emessi da quella CA.

3. Modello di certificato: se viene utilizzato un modello, la richiesta viene convalidata ulteriormente in base ai vincoli specifici del modello. In questo modo, il certificato sarà appropriato per l'uso previsto.

Le estensioni X.509 del criterio di emissione dei certificati e del modello di certificato del pool di CA vengono aggiunte al certificato e determinati valori vengono omessi in base agli stessi criteri. Prima di firmare il certificato, i vincoli relativi ai nomi nei certificati CA vengono convalidati in base al certificato per garantire che l'oggetto sia conforme.

Conflitti di norme

Quando vengono utilizzati contemporaneamente diversi meccanismi di controllo dei criteri, è possibile che i criteri a livelli diversi entrino in conflitto. Ad esempio, un modello di certificato potrebbe consentire un tipo di chiave (ad esempio ECDSA) vietato dal criterio di emissione del pool di CA. In alternativa, il modello di certificato e il criterio di emissione potrebbero specificare valori diversi per la stessa estensione X.509.

Per scoprire come gestire i conflitti di criteri in CA Service, consulta Informazioni sui conflitti di criteri.

Passaggi successivi

• Scopri come implementare i controlli delle norme.
• Scopri di più sull'utilizzo di Common Expression Language (CEL).