Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Descripción general de los controles de políticas

Los controles de políticas aplican estándares para el funcionamiento de la autoridad certificadora (CA) y los certificados que emite la CA. Los controles de políticas son las reglas y restricciones que estableces para definir cómo la CA emitirá certificados y qué parámetros se pueden incluir en una solicitud y qué valores se aceptan. En Certificate Authority Service, los controles de políticas son de uno de los dos tipos siguientes:

Políticas generales, como las políticas de emisión de certificados: Las políticas de emisión de certificados se aplican a todo el grupo de AC y definen restricciones de alto nivel, como los tipos de claves permitidos, los períodos de validez de los certificados permitidos y las restricciones de asunto y nombre alternativo del asunto (SAN).
Políticas detalladas, como las plantillas de certificados: Las plantillas de certificados te permiten definir qué tipos de certificados se pueden emitir y quién tiene la autoridad para emitirlos, lo que evita el uso inadecuado y mantiene la seguridad. Las plantillas de certificados ofrecen un control más detallado, ya que te permiten definir diferentes tipos de certificados para diferentes propósitos. Por ejemplo, puedes crear plantillas de certificados para casos de uso específicos, como certificados TLS para servidores web y certificados de firma de código para desarrolladores. También puedes crear plantillas para diferentes departamentos o equipos, lo que permite que cada equipo solicite certificados con los permisos específicos que necesita.

Además de las políticas de emisión de certificados y las plantillas de certificados, también puedes aplicar controles de políticas específicos, como restricciones de nombres, para evitar que una CA emita certificados para dominios o entidades no autorizados.

Acerca de las políticas de emisión de certificados

Una política de emisión de certificados define los controles sobre toda la emisión de certificados dentro de un grupo de CA. Un administrador de CA puede adjuntar una política de emisión de certificados a un grupo de CA para definir restricciones sobre el tipo de certificados que pueden emitir las CA del grupo. Las políticas de emisión de certificados te ayudan a hacer lo siguiente:

Agrega restricciones sobre los SAN y los sujetos permitidos que se pueden solicitar. Esto valida quién o qué se puede identificar en el certificado, por ejemplo, solo permite certificados para el dominio de tu empresa.
Define restricciones sobre las identidades de los certificados, la vida útil de los certificados, los tipos de claves, la duración de la fecha anterior y los modos de solicitud de certificados.
Agrega extensiones X.509 específicas a todos los certificados emitidos.

Te recomendamos que uses una política de emisión de certificados en cualquiera de los siguientes casos:

Tu grupo de CA está diseñado para emitir certificados según un solo perfil bien definido. Por ejemplo, tienes un grupo de CA dedicado que emite certificados solo para los servidores web internos de tu empresa. Todos estos certificados necesitan los mismos parámetros básicos.
- Todos los certificados emitidos tienen O=My organization en su asunto.
- Todos los nombres de DNS terminan con .cymbalgroup.com.
- Son válidas por 1 año.
Una política de emisión de certificados aplica estas reglas y garantiza que cada certificado emitido desde este grupo de CA cumpla con este perfil.
Deseas definir un modelo de referencia común para las extensiones X.509 y las restricciones adicionales que se aplican a todos los perfiles de emisión de certificados. Por ejemplo, tienes diferentes tipos de certificados, como los certificados de firma de correo electrónico de los empleados (válidos por 2 años) y los certificados TLS para sitios web públicos (válidos por 1 año). Puedes definir una política de emisión de referencia que se aplique a todos los certificados:
- Todos los certificados deben incluir el nombre de la empresa en el asunto.
- Todos deben usar un conjunto específico de extensiones X.509 para los estándares de seguridad de tu organización.
Luego, puedes usar plantillas de certificados para definir las variaciones específicas de cada tipo de certificado sobre esa base.

Para obtener información sobre cómo agregar una política de emisión de certificados, consulta Agrega una política de emisión de certificados a un grupo de CA.

Acerca de las plantillas de certificado

Una plantilla de certificado representa un esquema de emisión de certificados relativamente estático y bien definido dentro de una organización. Con las plantillas de certificados, los certificados emitidos desde varios grupos de CA comparten el mismo formato y las mismas propiedades, independientemente de la CA emisora. El recurso CertificateTemplate incluye lo siguiente:

Es una expresión de Common Expression Language (CEL) que se evalúa en función del sujeto y los SAN solicitados en todas las solicitudes de certificados que usan la plantilla. Para obtener más información sobre el uso de CEL, consulta Uso de CEL.
Es una lista de entidades permitidas que especifica si el asunto o el nombre alternativo del asunto se pueden copiar de la solicitud del usuario final al certificado emitido.
Es una lista de entidades permitidas opcional que especifica qué extensiones X.509, si las hay, se pueden copiar de la solicitud del usuario final al certificado emitido.
Es un conjunto opcional de valores de extensión X.509 que se agregan a todos los certificados emitidos que usan la plantilla.

Una plantilla de certificado puede convertirse en un marco de trabajo completo para la emisión de certificados verticales. Para obtener más detalles, consulta la definición completa del mensaje CertificateTemplate.

Puedes usar una plantilla de certificado cuando tengas un caso de emisión de certificados bien definido. Puedes usar plantillas de certificados para garantizar la coherencia entre los certificados emitidos desde diferentes grupos de CA. También puedes usar una plantilla de certificado para restringir los tipos de certificados que pueden emitir diferentes personas.

También puedes usar una combinación de plantillas de certificados y vinculaciones de roles condicionales de Identity and Access Management (IAM) para definir restricciones que se apliquen a las solicitudes de certificados realizadas por cuentas de servicio específicas. Por ejemplo, puedes crear una plantilla de certificado que solo permita nombres de DNS que terminen con .altostrat.com. Luego, puedes agregar una vinculación de rol condicional para otorgar a la cuenta de servicio permiso my-service-account@my-project.iam.gserviceaccount.com para usar solo esa plantilla cuando solicite certificados de un grupo de CA específico. Esto limita la cuenta de servicio a emitir certificados con esa restricción específica de SAN.

Para obtener información sobre cómo crear plantillas de certificados, consulta Crea una plantilla de certificado.

Restricciones de nombres del certificado de la CA

El servicio de CA aplica las restricciones de nombres en los certificados de CA según se definen en la sección Name Constraints del documento RFC 5280. Las restricciones de nombres te permiten controlar qué nombres se permiten o excluyen en los certificados emitidos por las CA.

Las restricciones de nombres se implementan con la extensión de restricciones de nombres en los certificados X.509. Esta extensión te permite especificar los espacios de nombres permitidos y excluidos para varios formatos de nombres, como nombres de DNS, direcciones IP, direcciones de correo electrónico y URLs.

Por ejemplo, puedes crear una AC con restricciones de nombres para aplicar las siguientes condiciones:

Solo se pueden usar myownpersonaldomain.com y sus subdominios como nombres de DNS.
examplepetstore.com y sus subdominios están prohibidos como nombres de DNS.

Las restricciones de nombres se definen dentro del propio certificado de la CA. Esto significa que todos los certificados emitidos por esa CA están sujetos a estas restricciones. Cuando una CA emite un certificado, verifica el nombre del sujeto solicitado y los nombres alternativos del sujeto (SAN) en función de las restricciones de nombres definidas. Si algún nombre incumple las restricciones, se rechazará la emisión del certificado.

Solo puedes especificar restricciones de nombres cuando creas la CA.

Beneficios de usar los controles de políticas

Los controles de políticas te ayudan a lograr lo siguiente:

Mejora la seguridad limitando los tipos de certificados que se pueden emitir y reduciendo el riesgo de que se creen y se usen de forma inadecuada certificados no autorizados.
Cumple con los requisitos reglamentarios y las prácticas recomendadas de la industria para la administración de certificados.
Reduce el esfuerzo manual y los posibles errores. Las plantillas de certificados facilitan la emisión de certificados de manera coherente y eficiente.
Establece la confianza, ya que las políticas claramente definidas y los controles sólidos aumentan la confianza en los certificados que emites.

Aplicación de controles de políticas

Cuando alguien solicita un certificado, el Servicio de CA evalúa estos controles de políticas en los siguientes niveles:

Permisos de Identity and Access Management (IAM): Primero, el servicio verifica si el solicitante tiene los permisos de IAM necesarios para crear certificados o usar la plantilla de certificado especificada. Esto garantiza que solo los usuarios autorizados puedan obtener certificados.
Política de emisión de certificados: Luego, el servicio valida la solicitud de certificado según la política de emisión del grupo de AC. Esto garantiza que la solicitud cumpla con los requisitos generales para los certificados emitidos por esa CA.
Plantilla de certificado: Si se usa una plantilla, la solicitud se valida aún más en función de las restricciones específicas de la plantilla. Esto garantiza que el certificado sea adecuado para el uso previsto.

Las extensiones X.509 de la política de emisión de certificados del grupo de CA y la plantilla de certificado se agregan al certificado, y se descartan ciertos valores según esas mismas políticas. Antes de firmar el certificado, se validan las restricciones de nombres en los certificados de CA con respecto al certificado para garantizar que el sujeto cumpla con los requisitos.

Conflictos de políticas

Cuando se usan diferentes mecanismos de control de políticas en conjunto, es posible que las políticas en diferentes niveles entren en conflicto. Por ejemplo, una plantilla de certificado podría permitir un tipo de clave (como ECDSA) que la política de emisión del grupo de CA prohíbe. O bien, la plantilla de certificado y la política de emisión podrían especificar valores diferentes para la misma extensión X.509.

Para obtener información sobre cómo administrar los conflictos de políticas en CA Service, consulta Acerca de los conflictos de políticas.

¿Qué sigue?

Obtén más información para implementar controles de políticas.
Obtén más información para usar Common Expression Language (CEL).