Visão geral de modelos de certificado e políticas de emissão

Nesta página, você terá uma visão geral da implementação de controles de política no Certificate Authority Service usando modelos de certificado, políticas de emissão e restrições de nome de certificado.

Com os controles de política, você controla o tipo de certificado que o pool de autoridades certificadoras (CA) pode emitir. Os controles de política são divididos em dois tipos: gerais e refinados. As políticas gerais aplicam restrições específicas do pool de ACs. As políticas detalhadas determinam as operações que um determinado usuário pode executar em um pool de ACs.

Modelos de certificado

É possível usar um modelo de certificado quando você tem um cenário de emissão de certificados bem definido. Use modelos de certificado para ter consistência entre certificados emitidos por diferentes pools de CA. Também é possível usar um modelo de certificado para restringir os tipos de certificado que diferentes indivíduos podem emitir.

Para saber mais sobre modelos de certificado, consulte Criar um modelo de certificado.

Políticas de emissão de certificados

Um gerente de CA pode anexar uma política de emissão de certificado a um pool de CAs para definir restrições sobre o tipo de certificados que as CAs no pool de CAs podem emitir. Uma política de emissão pode definir restrições em identidades, ciclos de vida e tipos de chave, além de modos de solicitação de certificado e extensões X.509. A política de emissão também pode conter um conjunto de extensões X.509 aplicadas a todas as solicitações de certificado recebidas.

As políticas de emissão permitem aplicar certas restrições em todo o pool de ACs. Por exemplo, é possível usar uma política de emissão para aplicar as seguintes condições:

  • Todos os certificados emitidos têm O=My organization no assunto.
  • Todos os nomes DNS terminam com .my-org-domain.com.
  • O pool de CAs só pode emitir certificados TLS do servidor.

Se um ou ambos os casos a seguir se aplicarem, recomendamos o uso de uma política de emissão de certificados:

  1. O objetivo do pool de ACs é emitir certificados de acordo com um perfil único e bem definido.
  2. Você quer definir um valor de referência comum para extensões X.509 e restrições adicionais que se apliquem a todos os perfis de emissão de certificados.

Para saber mais sobre políticas de emissão, consulte Adicionar uma política de emissão de certificados a um pool de ACs.

Restrições de nome do certificado de CA

O CAS aplica restrições de nome em certificados de CA, conforme definido na seção "Restrições de nome da RFC 5280". Com ele, você controla quais nomes são permitidos ou excluídos dos certificados emitidos pelas CAs.

Por exemplo, é possível criar uma CA com restrições de nome para aplicar as seguintes condições:

  • Somente my-org-domain.com e os subdomínios dele podem ser usados como nomes DNS.
  • untrusted-domain.com e os subdomínios dele estão proibidos como nomes DNS.

As restrições de nome são para certificado de CA. Eles só podem ser especificados durante a criação da CA e não podem ser atualizados posteriormente.

Conflitos de política

Ao usar diferentes mecanismos de controle de políticas em conjunto, é possível que políticas de diferentes níveis entrem em conflito. Esta seção descreve como os controles de política são aplicados e fornece orientações para evitar conflitos de políticas.

Aplicação das políticas

Ao solicitar certificados, os controles de política são avaliados em diferentes camadas.

As vinculações condicionais do IAM para atributos de solicitação são avaliadas primeiro para garantir que o autor da chamada tenha as permissões necessárias para criar certificados ou usar modelos de certificado.

Durante a criação do certificado, o pool de ACs e a política de emissão de modelos de certificado são validados em relação à solicitação de certificado normalizada. As extensões X.509 da política de emissão de certificados do pool de ACs e o modelo de certificado são adicionados ao certificado, e alguns valores podem ser descartados com base nessas mesmas políticas.

Antes de assinar o certificado, as restrições de nome nos certificados de CA são validadas em relação ao certificado para garantir que o assunto esteja em conformidade.

Conflitos de política de emissão

Veja a seguir uma lista não abrangente de erros em que a política de emissão de um modelo de certificado pode entrar em conflito com a política de emissão de um pool de ACs.

  • Um modelo de certificado contém valores predefinidos que são proibidos pelo pool de ACs.
  • Um modelo de certificado contém valores X.509 diferentes dos valores de referência do pool de ACs.

Em todos esses casos, a API retorna um erro de argumento inválido.

Conflitos de CEL

A CEL oferece a capacidade de implementar diversas expressões. Pode haver situações em que as expressões CEL na política de emissão do pool de ACs e no modelo de certificado entrem em conflito. Esses conflitos impedem que os certificados sejam emitidos do pool de ACs. Por exemplo, considere a situação em que um pool de ACs tinha uma expressão CEL que aplica o nome comum de um certificado para terminar em .example.com e o modelo de certificado tinha uma expressão CEL que aplica o nome comum de um certificado para terminar em .example.net. Como essas duas expressões CEL colocam restrições diferentes no mesmo campo, todas as solicitações de emissão de certificado falham.

Se você estiver usando políticas de emissão de certificados e modelos de certificado, recomendamos garantir que as expressões CEL não entrem em conflito.

A seguir