Übersicht über Richtlinienkontrollen

Richtlinienkontrollen erzwingen Standards für den Betrieb der Zertifizierungsstelle (CA) und die von der CA ausgestellten Zertifikate. Richtlinienkontrollen sind die Regeln und Einschränkungen, die Sie festlegen, um zu definieren, wie die Zertifizierungsstelle Zertifikate ausstellt und welche Parameter in eine Anfrage aufgenommen werden können und welche Werte akzeptiert werden. Im Certificate Authority Service gibt es zwei Arten von Richtlinienkontrollen:

• Grobkörnige Richtlinien wie Richtlinien für die Zertifikatsausstellung: Richtlinien für die Zertifikatsausstellung gelten für den gesamten CA-Pool und definieren Einschränkungen auf hoher Ebene, z. B. zulässige Schlüsseltypen, zulässige Zertifikatslaufzeiten sowie Einschränkungen für den Inhaber und den alternativen Inhabernamen (Subject Alternative Name, SAN).

• Feingranulare Richtlinien wie Zertifikatvorlagen: Mit Zertifikatvorlagen können Sie festlegen, welche Zertifikattypen ausgestellt werden können und wer die Berechtigung hat, sie auszustellen. So wird Missbrauch verhindert und die Sicherheit aufrechterhalten. Zertifikatvorlagen bieten eine genauere Kontrolle, da Sie verschiedene Arten von Zertifikaten für unterschiedliche Zwecke definieren können. Sie können beispielsweise Zertifikatvorlagen für bestimmte Anwendungsfälle wie TLS-Zertifikate für Webserver und Codesignaturzertifikate für Entwickler erstellen. Sie können auch Vorlagen für verschiedene Abteilungen oder Teams erstellen, damit jedes Team Zertifikate mit den spezifischen Berechtigungen anfordern kann, die es benötigt.

Zusätzlich zu den Richtlinien für die Zertifikatsausstellung und den Zertifikatvorlagen können Sie auch bestimmte Richtlinienkontrollen wie Namenseinschränkungen erzwingen, um zu verhindern, dass eine Zertifizierungsstelle Zertifikate für nicht autorisierte Domains oder Entitäten ausstellt.

Zertifikatsausstellungsrichtlinien

Eine Richtlinie zur Zertifikatsausstellung definiert Kontrollen für die gesamte Zertifikatsausstellung in einem CA-Pool. Ein CA-Administrator kann einem CA-Pool eine Richtlinie zur Zertifikatsausstellung zuweisen, um Einschränkungen für die Art von Zertifikaten zu definieren, die die Zertifizierungsstellen im CA-Pool ausstellen können. Zertifikatsausstellungsrichtlinien bieten Ihnen folgende Möglichkeiten:

• Fügen Sie Einschränkungen für zulässige Betreffe und SANs hinzu, die angefordert werden können. Dadurch wird bestätigt, wer oder was im Zertifikat identifiziert werden kann, z. B. dass nur Zertifikate für die Domain Ihres Unternehmens zulässig sind.
• Sie können Einschränkungen für Zertifikatsidentitäten, Zertifikatslaufzeiten, Schlüsseltypen, den Zeitraum für die Rückdatierung und die Modi für Zertifikatsanfragen definieren.
• Bestimmte X.509-Erweiterungen an alle ausgestellten Zertifikate anhängen.

Wir empfehlen die Verwendung einer Richtlinie zur Zertifikatausstellung, wenn eines oder beide der folgenden Szenarien auf Sie zutreffen:

1. Ihr CA-Pool ist so konzipiert, dass Zertifikate gemäß einem einzelnen, genau definierten Profil ausgestellt werden. Sie haben beispielsweise einen dedizierten CA-Pool, der Zertifikate nur für die internen Webserver Ihres Unternehmens ausstellt. Für alle diese Zertifikate sind dieselben grundlegenden Parameter erforderlich.

   • Alle ausgestellten Zertifikate haben O=My organization im Betreff.
   • Alle DNS-Namen enden mit .cymbalgroup.com.
   • Sie sind ein Jahr lang gültig.

   Eine Richtlinie zur Zertifikatsausstellung erzwingt diese Regeln und sorgt dafür, dass jedes Zertifikat, das von diesem CA-Pool ausgestellt wird, diesem Profil entspricht.

2. Sie möchten eine gemeinsame Baseline für X.509-Erweiterungen und zusätzliche Einschränkungen definieren, die für alle Profile für die Zertifikatausstellung gelten. Sie haben beispielsweise verschiedene Arten von Zertifikaten, z. B. Zertifikate für die E-Mail-Signierung von Mitarbeitern (gültig für 2 Jahre) und TLS-Zertifikate für öffentliche Websites (gültig für 1 Jahr). Sie können eine Baseline-Ausstellungsrichtlinie definieren, die für alle Zertifikate gilt:

   • Alle Zertifikate müssen den Firmennamen im Betreff enthalten.
   • Alle müssen einen bestimmten Satz von X.509-Erweiterungen für die Sicherheitsstandards Ihrer Organisation verwenden.

   Anschließend können Sie Zertifikatsvorlagen verwenden, um die spezifischen Varianten für jeden Zertifikatstyp zusätzlich zu dieser Baseline zu definieren.

Informationen zum Hinzufügen einer Zertifikatsausstellungsrichtlinie finden Sie unter Zertifikatsausstellungsrichtlinie zu einem CA-Pool hinzufügen.

Zertifikatsvorlagen

Eine Zertifikatsvorlage stellt ein relativ statisches und genau definiertes Schema für die Zertifikatsausstellung innerhalb einer Organisation dar. Durch die Verwendung von Zertifikatvorlagen haben Zertifikate, die aus verschiedenen CA-Pools ausgestellt werden, unabhängig von der ausstellenden CA dasselbe Format und dieselben Eigenschaften. Die CertificateTemplate-Ressource enthält Folgendes:

• Ein CEL-Ausdruck (Common Expression Language), der für den angeforderten Inhaber und die SANs in allen Zertifikatsanfragen ausgewertet wird, die die Vorlage verwenden. Weitere Informationen zur Verwendung von CEL finden Sie unter CEL verwenden.
• Eine Zulassungsliste, die angibt, ob der Antragsteller oder der alternative Antragstellername aus der Endnutzeranfrage in das ausgestellte Zertifikat kopiert werden kann.
• Eine optionale Zulassungsliste, in der angegeben wird, welche X.509-Erweiterungen aus der Endnutzeranfrage in das ausgestellte Zertifikat kopiert werden dürfen.
• Ein optionaler Satz von X.509-Erweiterungswerten, die allen ausgestellten Zertifikaten hinzugefügt werden, die die Vorlage verwenden.

Eine Zertifikatsvorlage kann zu einem vollständigen vertikalen Rahmen für die Zertifikatsausstellung werden. Weitere Informationen finden Sie in der vollständigen Nachrichtendefinition für CertificateTemplate.

Sie können eine Zertifikatsvorlage verwenden, wenn Sie ein genau definiertes Szenario für die Zertifikatsausstellung haben. Sie können Zertifikatvorlagen verwenden, um die Konsistenz von Zertifikaten zu gewährleisten, die aus verschiedenen CA-Pools ausgestellt werden. Sie können auch eine Zertifikatvorlage verwenden, um die Arten von Zertifikaten einzuschränken, die verschiedene Personen ausstellen können.

Sie können auch eine Kombination aus Zertifikatvorlagen und bedingten IAM-Rollenbindungen (Identity and Access Management) verwenden, um Einschränkungen für Zertifikatanfragen zu definieren, die von bestimmten Dienstkonten gestellt werden. Sie können beispielsweise eine Zertifikatvorlage erstellen, die nur DNS-Namen zulässt, die mit .altostrat.com enden. Anschließend können Sie eine bedingte Rollenbindung hinzufügen, um dem Dienstkonto die Berechtigung my-service-account@my-project.iam.gserviceaccount.com zu erteilen, nur diese Vorlage zu verwenden, wenn Zertifikate aus einem bestimmten CA-Pool angefordert werden. Dadurch wird das Dienstkonto auf die Ausstellung von Zertifikaten mit dieser spezifischen SAN-Einschränkung beschränkt.

Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Beschränkungen für CA-Zertifikatsnamen

CA Service erzwingt Namenseinschränkungen in CA-Zertifikaten, wie im Abschnitt Name Constraints des RFC 5280-Dokuments definiert. Mit Namenseinschränkungen können Sie festlegen, welche Namen in Zertifikaten, die von Zertifizierungsstellen ausgestellt werden, zulässig oder ausgeschlossen sind.

Namensbeschränkungen werden mit der Erweiterung „Name Constraints“ in X.509‑Zertifikaten implementiert. Mit dieser Erweiterung können Sie zulässige und ausgeschlossene Namespaces für verschiedene Namensformen wie DNS-Namen, IP-Adressen, E-Mail-Adressen und URLs angeben.

Sie können beispielsweise eine Zertifizierungsstelle mit Namenseinschränkungen erstellen, um die folgenden Bedingungen zu erzwingen:

• Nur myownpersonaldomain.com und seine Subdomains können als DNS-Namen verwendet werden.
• examplepetstore.com und die zugehörigen Subdomains sind als DNS-Namen nicht zulässig.

Namenseinschränkungen werden im eigenen Zertifikat der Zertifizierungsstelle definiert. Das bedeutet, dass alle von dieser Zertifizierungsstelle ausgestellten Zertifikate an diese Einschränkungen gebunden sind. Wenn eine Zertifizierungsstelle ein Zertifikat ausstellt, prüft sie den angeforderten Antragstellernamen und alle alternativen Antragstellernamen (Subject Alternative Names, SANs) anhand der definierten Namensbeschränkungen. Wenn ein Name gegen die Einschränkungen verstößt, wird die Ausstellung des Zertifikats abgelehnt.

Sie können Namensbeschränkungen nur beim Erstellen der Zertifizierungsstelle angeben.

Vorteile der Verwendung von Richtlinienkontrollen

Mit Richtlinienkontrollen können Sie Folgendes erreichen:

• Erhöhen Sie die Sicherheit, indem Sie einschränken, welche Arten von Zertifikaten ausgestellt werden können, und das Risiko verringern, dass unbefugte Zertifikate erstellt und missbraucht werden.
• Regulatorische Anforderungen und Branchen-Best Practices für die Zertifikatsverwaltung erfüllen
• Weniger manueller Aufwand und weniger potenzielle Fehler Zertifikatvorlagen erleichtern die konsistente und effiziente Ausstellung von Zertifikaten.
• Vertrauen schaffen: Klar definierte Richtlinien und strenge Kontrollen stärken das Vertrauen in die von Ihnen ausgestellten Zertifikate.

Richtlinienkontrollen erzwingen

Wenn jemand ein Zertifikat anfordert, wertet CA Service diese Richtlinienkontrollen auf den folgenden Ebenen aus:

1. IAM-Berechtigungen (Identity and Access Management): Zuerst prüft der Dienst, ob der Anfragende die erforderlichen IAM-Berechtigungen zum Erstellen von Zertifikaten oder zum Verwenden der angegebenen Zertifikatvorlage hat. So wird sichergestellt, dass nur autorisierte Nutzer Zertifikate erhalten können.

2. Richtlinie für die Zertifikatsausstellung: Der Dienst validiert die Zertifikatsanfrage anhand der Ausstellungsrichtlinie des CA-Pools. So wird sichergestellt, dass die Anfrage den allgemeinen Anforderungen für Zertifikate entspricht, die von dieser Zertifizierungsstelle ausgestellt werden.

3. Zertifikatsvorlage: Wenn eine Vorlage verwendet wird, wird die Anfrage anhand der spezifischen Einschränkungen der Vorlage validiert. So wird sichergestellt, dass das Zertifikat für den vorgesehenen Zweck geeignet ist.

X.509-Erweiterungen aus der Richtlinie zur Zertifikatsausstellung des CA-Pools und der Zertifikatvorlage werden dem Zertifikat hinzugefügt. Bestimmte Werte werden basierend auf denselben Richtlinien entfernt. Bevor das Zertifikat signiert wird, werden Namenseinschränkungen in CA-Zertifikaten anhand des Zertifikats validiert, um sicherzustellen, dass das Subjekt den Anforderungen entspricht.

Richtlinienkonflikte

Wenn Sie verschiedene Richtlinienkontrollmechanismen zusammen verwenden, kann es zu Konflikten zwischen Richtlinien auf verschiedenen Ebenen kommen. Eine Zertifikatsvorlage kann beispielsweise einen Schlüsseltyp (z. B. ECDSA) zulassen, der in der Ausstellungsrichtlinie des CA-Pools verboten ist. Oder in der Zertifikatvorlage und der Ausstellungsrichtlinie sind möglicherweise unterschiedliche Werte für dieselbe X.509-Erweiterung angegeben.

Informationen zum Verwalten von Richtlinienkonflikten im CA Service finden Sie unter Richtlinienkonflikte.

Nächste Schritte

• Informationen zum Implementieren von Richtlinienkontrollen
• Weitere Informationen zur Verwendung der Common Expression Language (CEL)