Vista geral dos controlos de políticas

Os controlos de políticas aplicam normas para o funcionamento da autoridade de certificação (AC) e os certificados que a AC emite. Os controlos de políticas são as regras e as restrições que implementa para definir como a AC vai emitir certificados e que parâmetros podem ser incluídos num pedido e que valores são aceites. No serviço de autoridade de certificação, os controlos de políticas são de um de dois tipos:

• Políticas detalhadas, como políticas de emissão de certificados: As políticas de emissão de certificados aplicam-se a todo o conjunto de ACs e definem restrições de alto nível, como tipos de chaves permitidos, durações de certificados permitidas e restrições de entidades e nomes alternativos de entidades (SAN).

• Políticas detalhadas, como modelos de certificados: Os modelos de certificados permitem definir que tipos de certificados podem ser emitidos e quem tem autoridade para os emitir, impedindo a utilização indevida e mantendo a segurança. Os modelos de certificados oferecem um controlo mais detalhado, permitindo-lhe definir diferentes tipos de certificados para diferentes finalidades. Por exemplo, pode criar modelos de certificados para exemplos de utilização específicos, como certificados TLS para servidores Web e certificados de assinatura de código para programadores. Também pode criar modelos para diferentes departamentos ou equipas, o que permite que cada equipa peça certificados com as autorizações específicas de que precisa.

Além das políticas de emissão de certificados e dos modelos de certificados, também pode aplicar controlos de políticas específicos, como restrições de nomes, para impedir que uma AC emita certificados para domínios ou entidades não autorizados.

Acerca das políticas de emissão de certificados

Uma política de emissão de certificados define controlos sobre toda a emissão de certificados num conjunto de ACs. Um gestor da AC pode anexar uma política de emissão de certificados a um conjunto de ACs para definir restrições sobre o tipo de certificados que as ACs no conjunto de ACs podem emitir. As políticas de emissão de certificados ajudam a fazer o seguinte:

• Adicione restrições sobre o assunto permitido e os SANs que podem ser pedidos. Isto valida quem ou o que pode ser identificado no certificado, como permitir apenas certificados para o domínio da sua empresa.
• Definir restrições nas identidades dos certificados, nas durações dos certificados, nos tipos de chaves e nos modos de pedido de certificados.
• Anexar extensões X.509 específicas a todos os certificados emitidos.

Recomendamos que use uma política de emissão de certificados quando se aplicar um ou ambos os seguintes cenários:

1. O seu conjunto de ACs foi concebido para emitir certificados de acordo com um único perfil bem definido. Por exemplo, tem um conjunto de ACs dedicado que emite certificados apenas para os servidores Web internos da sua empresa. Todos estes certificados precisam dos mesmos parâmetros básicos.

   • Todos os certificados emitidos têm O=My organization no respetivo assunto.
   • Todos os nomes DNS terminam com .cymbalgroup.com.
   • São válidas durante 1 ano.

   Uma política de emissão de certificados aplica estas regras e garante que todos os certificados emitidos a partir deste conjunto de ACs cumprem este perfil.

2. Quer definir uma base comum para extensões X.509 e restrições adicionais que se aplicam a todos os perfis de emissão de certificados. Por exemplo, tem diferentes tipos de certificados, como certificados de assinatura de email de funcionários (válidos durante 2 anos) e certificados TLS para Websites públicos (válidos durante 1 ano). Pode definir uma política de emissão de base que se aplica a todos os certificados:

   • Todos os certificados têm de incluir o nome da empresa no assunto.
   • Todos têm de usar um conjunto específico de extensões X.509 para os padrões de segurança da sua organização.

   Em seguida, pode usar modelos de certificados para definir as variações específicas de cada tipo de certificado com base nessa base.

Para obter informações sobre como adicionar uma política de emissão de certificados, consulte o artigo Adicione uma política de emissão de certificados a um conjunto de ACs.

Acerca dos modelos de certificados

Um modelo de certificado representa um esquema de emissão de certificados relativamente estático e bem definido numa organização. Ao usar modelos de certificados, os certificados emitidos a partir de vários conjuntos de AC partilham o mesmo formato e propriedades, independentemente da AC emissora. O recurso CertificateTemplate inclui o seguinte:

• Uma expressão do Idioma de expressão comum (IEC) que é avaliada em função do assunto pedido e dos SANs em todos os pedidos de certificados que usam o modelo. Para mais informações sobre a utilização do IEC, consulte o artigo Usar o IEC.
• Uma lista de autorizações que especifica se o requerente ou o nome alternativo do requerente pode ser copiado do pedido do utilizador final para o certificado emitido.
• Uma lista de autorizações opcional que especifica que extensões X.509, se existirem, podem ser copiadas do pedido do utilizador final para o certificado emitido.
• Um conjunto opcional de valores de extensão X.509 que são adicionados a todos os certificados emitidos que usam o modelo.

Um modelo de certificado pode tornar-se uma estrutura de emissão de certificados vertical completa. Para mais detalhes, consulte a definição completa da mensagem CertificateTemplate.

Pode usar um modelo de certificado quando tiver um cenário de emissão de certificados bem definido. Pode usar modelos de certificados para garantir a consistência entre os certificados emitidos a partir de diferentes conjuntos de ACs. Também pode usar um modelo de certificado para restringir os tipos de certificados que diferentes indivíduos podem emitir.

Também pode usar uma combinação de modelos de certificados e associações de funções condicionais da gestão de identidade e de acesso (IAM) para definir restrições que se aplicam a pedidos de certificados feitos por contas de serviço específicas. Por exemplo, pode criar um modelo de certificado que permita apenas nomes DNS que terminem com .altostrat.com. Em seguida, pode adicionar uma associação de funções condicional para conceder à conta de serviço my-service-account@my-project.iam.gserviceaccount.com autorização para usar apenas esse modelo quando solicitar certificados a um conjunto de CAs específico. Isto limita a conta de serviço à emissão de certificados com essa restrição SAN específica.

Para saber como criar modelos de certificados, consulte o artigo Crie um modelo de certificado.

Restrições de nome do certificado da AC

O serviço de AC aplica restrições de nomes em certificados de AC, conforme definido na secção Restrições de nomes do documento RFC 5280. As restrições de nomes permitem-lhe controlar que nomes são permitidos ou excluídos em certificados emitidos por ACs.

As restrições de nomes são implementadas através da extensão de restrições de nomes em certificados X.509. Esta extensão permite-lhe especificar espaços de nomes permitidos e excluídos para vários formatos de nomes, como nomes DNS, endereços IP, endereços de email e URLs.

Por exemplo, pode criar uma AC com restrições de nomes para aplicar as seguintes condições:

• Apenas myownpersonaldomain.com e os respetivos subdomínios podem ser usados como nomes DNS.
• examplepetstore.com e os respetivos subdomínios são proibidos como nomes DNS.

As restrições de nomes são definidas no próprio certificado da AC. Isto significa que todos os certificados emitidos por essa AC estão sujeitos a estas restrições. Quando uma AC emite um certificado, verifica o nome do requerente pedido e quaisquer nomes alternativos do requerente (SANs) em relação às restrições de nomes definidas. Se algum nome violar as restrições, a emissão do certificado é rejeitada.

Só pode especificar restrições de nomes no momento da criação da CA.

Vantagens da utilização dos controlos de políticas

Os controlos de políticas ajudam a alcançar o seguinte:

• Melhore a segurança limitando os tipos de certificados que podem ser emitidos e reduzindo o risco de criação e utilização indevida de certificados não autorizados.
• Cumprir os requisitos regulamentares e as práticas recomendadas da indústria para a gestão de certificados.
• Reduzir o esforço manual e os potenciais erros. Os modelos de certificados facilitam a emissão de certificados de forma consistente e eficiente.
• Estabeleça confiança à medida que as políticas claramente definidas e os controlos rigorosos aumentam a confiança nos certificados que emite.

Aplicar controlos de políticas

Quando alguém solicita um certificado, o serviço de AC avalia estes controlos de políticas nos seguintes níveis:

1. Autorizações da gestão de identidade e de acesso (IAM): primeiro, o serviço verifica se o requerente tem as autorizações da IAM necessárias para criar certificados ou usar o modelo de certificado especificado. Isto garante que apenas os utilizadores autorizados podem obter certificados.

2. Política de emissão de certificados: o serviço valida o pedido de certificado com base na política de emissão do conjunto de ACs. Isto garante que o pedido cumpre os requisitos gerais para certificados emitidos por essa AC.

3. Modelo de certificado: se for usado um modelo, o pedido é validado ainda mais em função das restrições específicas do modelo. Isto garante que o certificado é adequado para a sua utilização prevista.

As extensões X.509 da política de emissão de certificados do conjunto de ACs e do modelo de certificado são adicionadas ao certificado, e determinados valores são ignorados com base nessas mesmas políticas. Antes de assinar o certificado, as restrições de nomes nos certificados de CA são validadas em relação ao certificado para garantir que o assunto está em conformidade.

Conflitos de políticas

Quando usa diferentes mecanismos de controlo de políticas em conjunto, existe a possibilidade de as políticas em diferentes níveis entrarem em conflito. Por exemplo, um modelo de certificado pode permitir um tipo de chave (como ECDSA) que a política de emissão do conjunto de ACs proíbe. Em alternativa, o modelo de certificado e a política de emissão podem especificar valores diferentes para a mesma extensão X.509.

Para saber como gerir conflitos de políticas no serviço de CA, consulte o artigo Acerca dos conflitos de políticas.

O que se segue?

• Saiba como implementar controlos de políticas.
• Saiba como usar o Idioma de expressão comum (IEC).