Présentation des contrôles des règles

Les contrôles des règles appliquent des normes pour le fonctionnement de l'autorité de certification et des certificats qu'elle émet. Les contrôles des règles sont les règles et les restrictions que vous mettez en place pour définir comment l'autorité de certification émettra les certificats, quels paramètres peuvent être inclus dans une demande et quelles valeurs sont acceptées. Dans Certificate Authority Service, les contrôles des règles sont de deux types :

  • Les règles à granularité large, telles que les règles d'émission de certificats : Elles s'appliquent à l'ensemble du pool d'autorités de certification et définissent des contraintes de haut niveau, telles que les types de clés autorisés, les durées de vie des certificats autorisées, ainsi que les contraintes liées à l'objet et à l'autre nom de l'objet (SAN).

  • Règles précises telles que les modèles de certificats : les modèles de certificats vous permettent de définir les types de certificats qui peuvent être émis et les personnes autorisées à les émettre, ce qui permet d'éviter les utilisations abusives et de maintenir la sécurité. Les modèles de certificat offrent un contrôle plus précis en vous permettant de définir différents types de certificats pour différents usages. Par exemple, vous pouvez créer des modèles de certificats pour des cas d'utilisation spécifiques, comme les certificats TLS pour les serveurs Web et les certificats de signature de code pour les développeurs. Vous pouvez également créer des modèles pour différents services ou équipes, ce qui permet à chaque équipe de demander des certificats avec les autorisations spécifiques dont elle a besoin.

En plus des règles d'émission de certificats et des modèles de certificats, vous pouvez également appliquer des contrôles de règles spécifiques, tels que des contraintes de nom, pour empêcher une autorité de certification d'émettre des certificats pour des domaines ou des entités non autorisés.

À propos des règles d'émission de certificats

Une règle d'émission de certificats définit des contrôles sur toutes les émissions de certificats dans un pool d'autorités de certification. Un gestionnaire d'autorité de certification peut associer une règle d'émission de certificats à un pool d'autorités de certification pour définir des restrictions sur le type de certificats que les autorités de certification du pool peuvent émettre. Les règles d'émission de certificats vous aident à effectuer les opérations suivantes :

  • Ajoutez des contraintes sur les sujets et les SAN autorisés qui peuvent être demandés. Cela permet de valider qui ou quoi peut être identifié dans le certificat, par exemple en n'autorisant que les certificats pour le domaine de votre entreprise.
  • Définissez des restrictions sur les identités de certificat, les durées de vie des certificats, les types de clés, la durée de rétrodatation et les modes de demande de certificat.
  • Ajoutez des extensions X.509 spécifiques à tous les certificats émis.

Nous vous recommandons d'utiliser une règle d'émission de certificats si l'un des scénarios suivants (ou les deux) s'applique à vous :

  1. Votre pool d'autorités de certification est conçu pour émettre des certificats selon un profil unique et bien défini. Par exemple, vous disposez d'un pool d'autorités de certification dédié qui n'émet des certificats que pour les serveurs Web internes de votre entreprise. Ces certificats doivent tous avoir les mêmes paramètres de base.

    • Tous les certificats émis contiennent O=My organization dans leur sujet.
    • Tous les noms DNS se terminent par .cymbalgroup.com.
    • Elles sont valables un an.

    Une règle d'émission de certificats applique ces règles et garantit que chaque certificat émis à partir de ce pool d'autorités de certification respecte ce profil.

  2. Vous souhaitez définir une référence commune pour les extensions X.509 et les restrictions supplémentaires qui s'appliquent à tous les profils d'émission de certificats. Par exemple, vous disposez de différents types de certificats, tels que des certificats de signature d'e-mails des employés (valables deux ans) et des certificats TLS pour les sites Web publics (valables un an). Vous pouvez définir une règle d'émission de référence qui s'applique à tous les certificats :

    • Tous les certificats doivent inclure le nom de l'entreprise dans l'objet.
    • Tous doivent utiliser un ensemble spécifique d'extensions X.509 pour les normes de sécurité de votre organisation.

    Vous pouvez ensuite utiliser des modèles de certificat pour définir les variantes spécifiques de chaque type de certificat en plus de cette base de référence.

Pour savoir comment ajouter une stratégie d'émission de certificats, consultez Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.

À propos des modèles de certificat

Un modèle de certificat représente un schéma d'émission de certificats relativement statique et bien défini au sein d'une organisation. En utilisant des modèles de certificat, les certificats émis à partir de différents pools d'autorités de certification partagent le même format et les mêmes propriétés, quelle que soit l'autorité de certification émettrice. La ressource CertificateTemplate inclut les éléments suivants :

  • Expression CEL (Common Expression Language) évaluée par rapport à l'objet et aux SAN demandés dans toutes les requêtes de certificat qui utilisent le modèle. Pour en savoir plus sur l'utilisation de CEL, consultez Utiliser CEL.
  • Liste d'autorisation indiquant si le nom de l'objet ou le nom d'objet de remplacement peut être copié de la demande de l'utilisateur final vers le certificat émis.
  • Liste d'autorisation facultative spécifiant les extensions X.509 qui peuvent être copiées de la demande de l'utilisateur final vers le certificat émis (le cas échéant).
  • Ensemble facultatif de valeurs d'extension X.509 qui sont ajoutées à tous les certificats émis qui utilisent le modèle.

Un modèle de certificat peut devenir un framework complet d'émission de certificats verticaux. Pour en savoir plus, consultez la définition complète du message CertificateTemplate.

Vous pouvez utiliser un modèle de certificat lorsque vous avez un scénario d'émission de certificat bien défini. Vous pouvez utiliser des modèles de certificat pour assurer la cohérence des certificats émis à partir de différents pools d'autorités de certification. Vous pouvez également utiliser un modèle de certificat pour limiter les types de certificats que différentes personnes peuvent émettre.

Vous pouvez également utiliser une combinaison de modèles de certificats et de liaisons de rôles conditionnelles Identity and Access Management (IAM) pour définir des contraintes qui s'appliquent aux demandes de certificats effectuées par des comptes de service spécifiques. Par exemple, vous pouvez créer un modèle de certificat qui n'autorise que les noms DNS se terminant par .altostrat.com. Vous pouvez ensuite ajouter une liaison de rôle conditionnelle pour accorder au compte de service l'autorisation my-service-account@my-project.iam.gserviceaccount.com d'utiliser uniquement ce modèle lorsqu'il demande des certificats à partir d'un pool d'autorités de certification spécifique. Cela limite le compte de service à l'émission de certificats avec cette restriction SAN spécifique.

Pour apprendre à créer des modèles de certificat, consultez Créer un modèle de certificat.

Contraintes de nom du certificat CA

CA Service applique les contraintes de nom dans les certificats d'autorité de certification, comme défini dans la section Name Constraints (Contraintes de nom) du document RFC 5280. Les contraintes de nom vous permettent de contrôler les noms autorisés ou exclus dans les certificats émis par les autorités de certification.

Les contraintes de nom sont implémentées à l'aide de l'extension Name Constraints dans les certificats X.509. Cette extension vous permet de spécifier les espaces de noms autorisés et exclus pour différents formats de noms, tels que les noms DNS, les adresses IP, les adresses e-mail et les URL.

Par exemple, vous pouvez créer une autorité de certification avec des contraintes de nom pour appliquer les conditions suivantes :

  • Seuls myownpersonaldomain.com et ses sous-domaines peuvent être utilisés comme noms DNS.
  • examplepetstore.com et ses sous-domaines ne sont pas autorisés en tant que noms DNS.

Les contraintes de nom sont définies dans le propre certificat de l'autorité de certification. Cela signifie que tous les certificats émis par cette autorité de certification sont soumis à ces contraintes. Lorsqu'une autorité de certification émet un certificat, elle vérifie le nom de sujet demandé et les autres noms d'objet (SAN) par rapport aux contraintes de nom définies. Si un nom ne respecte pas les contraintes, l'émission du certificat est refusée.

Vous ne pouvez spécifier des contraintes de nom qu'au moment de la création de l'autorité de certification.

Avantages de l'utilisation des paramètres de règles

Les contrôles des règles vous aident à effectuer les opérations suivantes :

  • Améliorez la sécurité en limitant les types de certificats pouvant être émis et en réduisant le risque de création et d'utilisation abusive de certificats non autorisés.
  • Respectez les exigences réglementaires et les bonnes pratiques du secteur pour la gestion des certificats.
  • Réduisez l'effort manuel et les erreurs potentielles. Les modèles de certificats permettent d'émettre des certificats de manière cohérente et efficace.
  • Établissez la confiance : des règles clairement définies et des contrôles stricts renforcent la confiance dans les certificats que vous émettez.

Appliquer les contrôles de règles

Lorsqu'un utilisateur demande un certificat, CA Service évalue ces contrôles de règles aux niveaux suivants :

  1. Autorisations Identity and Access Management (IAM) : le service vérifie d'abord si le demandeur dispose des autorisations IAM nécessaires pour créer des certificats ou utiliser le modèle de certificat spécifié. Ainsi, seuls les utilisateurs autorisés peuvent obtenir des certificats.

  2. Règle d'émission de certificats : le service valide ensuite la demande de certificat par rapport à la règle d'émission du pool d'autorités de certification. Cela garantit que la demande répond aux exigences générales concernant les certificats émis par cette autorité de certification.

  3. Modèle de certificat : si un modèle est utilisé, la demande est validée plus en détail par rapport aux contraintes spécifiques du modèle. Cela permet de s'assurer que le certificat est adapté à l'utilisation prévue.

Les extensions X.509 de la règle d'émission de certificats du pool d'autorités de certification et du modèle de certificat sont ajoutées au certificat, et certaines valeurs sont supprimées en fonction de ces mêmes règles. Avant de signer le certificat, les contraintes de nom dans les certificats d'autorité de certification sont validées par rapport au certificat pour s'assurer que le sujet est conforme.

Conflits de règles

Lorsque vous utilisez différents mécanismes de contrôle des règles conjointement, il est possible que les règles à différents niveaux entrent en conflit. Par exemple, un modèle de certificat peut autoriser un type de clé (comme ECDSA) que la règle d'émission du pool d'autorités de certification interdit. Il est également possible que le modèle de certificat et la règle d'émission spécifient des valeurs différentes pour la même extension X.509.

Pour savoir comment gérer les conflits de règles dans Certificate Authority Service, consultez À propos des conflits de règles.

Étapes suivantes