Ringkasan kontrol kebijakan

Kontrol kebijakan menerapkan standar untuk pengoperasian certificate authority (CA) dan sertifikat yang dikeluarkan CA. Kontrol kebijakan adalah aturan dan batasan yang Anda terapkan untuk menentukan cara CA menerbitkan sertifikat dan parameter mana yang dapat disertakan dalam permintaan dan nilai mana yang diterima. Di Layanan Otoritas Sertifikat, kontrol kebijakan adalah salah satu dari dua jenis:

  • Kebijakan terperinci seperti kebijakan penerbitan sertifikat: Kebijakan penerbitan sertifikat berlaku untuk seluruh kumpulan CA dan menentukan batasan tingkat tinggi seperti jenis kunci yang diizinkan, masa berlaku sertifikat yang diizinkan, dan batasan subjek dan Nama Alternatif Subjek (SAN).

  • Kebijakan terperinci seperti template sertifikat: Template sertifikat memungkinkan Anda menentukan jenis sertifikat yang dapat diterbitkan dan siapa yang memiliki otoritas untuk menerbitkannya, sehingga mencegah penyalahgunaan dan menjaga keamanan. Template sertifikat menawarkan kontrol yang lebih terperinci dengan memungkinkan Anda menentukan berbagai jenis sertifikat untuk berbagai tujuan. Misalnya, Anda dapat membuat template sertifikat untuk kasus penggunaan tertentu seperti sertifikat TLS untuk server web dan sertifikat penandatanganan kode untuk developer. Anda juga dapat membuat template untuk berbagai departemen atau tim, sehingga setiap tim dapat meminta sertifikat dengan izin tertentu yang mereka butuhkan.

Selain kebijakan penerbitan sertifikat dan template sertifikat, Anda juga dapat menerapkan kontrol kebijakan tertentu seperti batasan nama untuk mencegah CA menerbitkan sertifikat untuk domain atau entitas yang tidak sah.

Tentang kebijakan penerbitan sertifikat

Kebijakan penerbitan sertifikat menentukan kontrol atas semua penerbitan sertifikat dalam kumpulan CA. Pengelola CA dapat melampirkan kebijakan penerbitan sertifikat ke kumpulan CA untuk menentukan batasan pada jenis sertifikat yang dapat dikeluarkan oleh CA dalam kumpulan CA. Kebijakan penerbitan sertifikat membantu Anda melakukan hal berikut:

  • Tambahkan batasan pada subjek dan SAN yang diizinkan yang dapat diminta. Hal ini memvalidasi siapa atau apa yang dapat diidentifikasi dalam sertifikat, seperti hanya mengizinkan sertifikat untuk domain perusahaan Anda.
  • Tentukan batasan pada identitas sertifikat, masa aktif sertifikat, jenis kunci, durasi tanggal mundur, dan mode permintaan sertifikat.
  • Tambahkan ekstensi X.509 tertentu ke semua sertifikat yang diterbitkan.

Sebaiknya gunakan kebijakan penerbitan sertifikat jika salah satu atau kedua skenario berikut berlaku untuk Anda:

  1. Kumpulan CA Anda dirancang untuk menerbitkan sertifikat sesuai dengan satu profil yang terdefinisi dengan baik. Misalnya, Anda memiliki kumpulan CA khusus yang menerbitkan sertifikat hanya untuk server web internal perusahaan Anda. Semua sertifikat ini memerlukan parameter dasar yang sama.

    • Semua sertifikat yang diterbitkan memiliki O=My organization di subjeknya.
    • Semua nama DNS diakhiri dengan .cymbalgroup.com.
    • Sertifikasi ini berlaku selama 1 tahun.

    Kebijakan penerbitan sertifikat menerapkan aturan ini dan memastikan bahwa setiap sertifikat yang diterbitkan dari kumpulan CA ini mematuhi profil ini.

  2. Anda ingin menentukan baseline umum untuk ekstensi X.509 dan batasan tambahan yang berlaku untuk semua profil penerbitan sertifikat. Misalnya, Anda memiliki berbagai jenis sertifikat seperti sertifikat penandatanganan email karyawan (berlaku selama 2 tahun) dan sertifikat TLS untuk situs yang dapat diakses publik (berlaku selama 1 tahun). Anda dapat menentukan kebijakan penerbitan dasar yang berlaku untuk semua sertifikat:

    • Semua sertifikat harus menyertakan nama perusahaan dalam subjek.
    • Semua sertifikat harus menggunakan serangkaian ekstensi X.509 tertentu untuk standar keamanan organisasi Anda.

    Kemudian, Anda dapat menggunakan template sertifikat untuk menentukan variasi spesifik untuk setiap jenis sertifikat di atas dasar tersebut.

Untuk mengetahui informasi tentang cara menambahkan kebijakan penerbitan sertifikat, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

Tentang template sertifikat

Template sertifikat merepresentasikan skema penerbitan sertifikat yang relatif statis dan terdefinisi dengan baik dalam suatu organisasi. Dengan menggunakan template sertifikat, sertifikat yang diterbitkan dari berbagai kumpulan CA memiliki format dan properti yang sama, terlepas dari CA penerbit. Resource CertificateTemplate mencakup hal berikut:

  • Ekspresi Common Expression Language (CEL) yang dievaluasi terhadap subjek dan SAN yang diminta dalam semua permintaan sertifikat yang menggunakan template. Untuk mengetahui informasi selengkapnya tentang penggunaan CEL, lihat Menggunakan CEL.
  • Daftar yang diizinkan yang menentukan apakah subjek atau nama alternatif subjek dapat disalin dari permintaan pengguna akhir ke sertifikat yang diterbitkan.
  • Daftar yang diizinkan opsional yang menentukan ekstensi X.509 mana, jika ada, yang dapat disalin dari permintaan pengguna akhir ke sertifikat yang diterbitkan.
  • Kumpulan nilai ekstensi X.509 opsional yang ditambahkan ke semua sertifikat yang dikeluarkan yang menggunakan template.

Template sertifikat dapat menjadi framework penerbitan sertifikat vertikal yang lengkap. Untuk mengetahui detail selengkapnya, lihat definisi pesan CertificateTemplate lengkap.

Anda dapat menggunakan template sertifikat jika memiliki skenario penerbitan sertifikat yang jelas. Anda dapat menggunakan template sertifikat untuk memastikan konsistensi di seluruh sertifikat yang diterbitkan dari berbagai kumpulan CA. Anda juga dapat menggunakan template sertifikat untuk membatasi jenis sertifikat yang dapat dikeluarkan oleh setiap individu.

Anda juga dapat menggunakan kombinasi template sertifikat dan binding peran bersyarat Identity and Access Management (IAM) untuk menentukan batasan yang berlaku untuk permintaan sertifikat yang dibuat oleh akun layanan tertentu. Misalnya, Anda dapat membuat template sertifikat yang hanya mengizinkan nama DNS yang diakhiri dengan .altostrat.com. Kemudian, Anda dapat menambahkan pengikatan peran bersyarat untuk memberikan izin my-service-account@my-project.iam.gserviceaccount.com kepada akun layanan agar hanya menggunakan template tersebut saat meminta sertifikat dari CA Pool tertentu. Hal ini membatasi akun layanan untuk menerbitkan sertifikat dengan batasan SAN tertentu tersebut.

Untuk mempelajari cara membuat template sertifikat, lihat Membuat template sertifikat.

Batasan nama sertifikat CA

Layanan CA menerapkan batasan nama dalam sertifikat CA sebagaimana ditentukan di bagian Name Constraints dalam dokumen RFC 5280. Batasan nama memungkinkan Anda mengontrol nama mana yang diizinkan atau dikecualikan dalam sertifikat yang dikeluarkan dari CA.

Batasan nama diterapkan menggunakan ekstensi Batasan Nama di sertifikat X.509. Ekstensi ini memungkinkan Anda menentukan namespace yang diizinkan dan dikecualikan untuk berbagai bentuk nama, seperti nama DNS, Alamat IP, alamat email, dan URL.

Misalnya, Anda dapat membuat CA dengan batasan nama untuk menerapkan kondisi berikut:

  • Hanya myownpersonaldomain.com dan subdomainnya yang dapat digunakan sebagai nama DNS.
  • examplepetstore.com dan subdomainnya dilarang sebagai nama DNS.

Batasan nama ditentukan dalam sertifikat CA itu sendiri. Artinya, semua sertifikat yang diterbitkan oleh CA tersebut terikat oleh batasan ini. Saat menerbitkan sertifikat, CA akan memeriksa nama subjek yang diminta dan Nama Alternatif Subjek (SAN) terhadap batasan nama yang ditentukan. Jika ada nama yang melanggar batasan, penerbitan sertifikat akan ditolak.

Anda hanya dapat menentukan batasan nama pada saat membuat CA.

Manfaat menggunakan kontrol kebijakan

Kontrol kebijakan membantu Anda mencapai hal berikut:

  • Meningkatkan keamanan dengan membatasi jenis sertifikat yang dapat diterbitkan dan dengan mengurangi risiko pembuatan dan penyalahgunaan sertifikat yang tidak sah.
  • Memenuhi persyaratan peraturan dan praktik terbaik industri untuk pengelolaan sertifikat.
  • Mengurangi upaya manual dan potensi kesalahan. Template sertifikat mempermudah penerbitan sertifikat secara konsisten dan efisien.
  • Membangun kepercayaan karena kebijakan yang jelas dan kontrol yang kuat meningkatkan kepercayaan pada sertifikat yang Anda terbitkan.

Menerapkan kontrol kebijakan

Saat seseorang meminta sertifikat, CA Service akan mengevaluasi kontrol kebijakan ini di tingkat berikut:

  1. Izin Identity and Access Management (IAM): Pertama, layanan memeriksa apakah pemohon memiliki izin IAM yang diperlukan untuk membuat sertifikat atau menggunakan template sertifikat yang ditentukan. Hal ini memastikan bahwa hanya pengguna yang diberi otorisasi yang dapat memperoleh sertifikat.

  2. Kebijakan penerbitan sertifikat: Kemudian, layanan memvalidasi permintaan sertifikat terhadap kebijakan penerbitan kumpulan CA. Hal ini memastikan bahwa permintaan memenuhi persyaratan umum untuk sertifikat yang dikeluarkan dari CA tersebut.

  3. Template sertifikat: Jika template digunakan, permintaan akan divalidasi lebih lanjut terhadap batasan spesifik template. Hal ini memastikan bahwa sertifikat sesuai untuk penggunaan yang dimaksud.

Ekstensi X.509 dari kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat ditambahkan ke sertifikat, dan nilai tertentu dihilangkan berdasarkan kebijakan yang sama. Sebelum menandatangani sertifikat, batasan nama dalam sertifikat CA divalidasi terhadap sertifikat untuk memastikan subjeknya mematuhi.

Konflik kebijakan

Saat menggunakan mekanisme kontrol kebijakan yang berbeda secara bersamaan, ada kemungkinan bahwa kebijakan di tingkat yang berbeda dapat berkonflik. Misalnya, template sertifikat dapat mengizinkan jenis kunci (seperti ECDSA) yang dilarang oleh kebijakan penerbitan kumpulan CA. Atau, template sertifikat dan kebijakan penerbitan mungkin menentukan nilai yang berbeda untuk ekstensi X.509 yang sama.

Untuk mempelajari cara mengelola konflik kebijakan di Layanan CA, lihat Tentang konflik kebijakan.

Langkah berikutnya