Panoramica dei controlli delle policy

I controlli dei criteri applicano standard per il funzionamento dell'autorità di certificazione (CA) e dei certificati emessi dalla CA. I controlli delle policy sono le regole e le limitazioni che implementi per definire in che modo l'autorità di certificazione emetterà i certificati e quali parametri possono essere inclusi in una richiesta e quali valori sono accettati. In Certificate Authority Service, i controlli delle norme sono di due tipi:

• Norme granulari come le norme di emissione dei certificati: le norme di emissione dei certificati si applicano all'intero pool di CA e definiscono vincoli di alto livello, come i tipi di chiavi consentiti, le durate dei certificati consentite e i vincoli relativi a soggetto e nome alternativo del soggetto (SAN).

• Policy granulari come i modelli di certificato: i modelli di certificato ti consentono di definire quali tipi di certificato possono essere emessi e chi ha l'autorità per emetterli, impedendo l'uso improprio e mantenendo la sicurezza. I modelli di certificato offrono un controllo più granulare consentendoti di definire diversi tipi di certificati per scopi diversi. Ad esempio, puoi creare modelli di certificati per casi d'uso specifici, come i certificati TLS per i server web e i certificati di firma del codice per gli sviluppatori. Puoi anche creare modelli per diversi reparti o team, consentendo a ciascun team di richiedere certificati con le autorizzazioni specifiche di cui ha bisogno.

Oltre ai criteri di emissione dei certificati e ai modelli di certificati, puoi anche applicare controlli specifici dei criteri, come i vincoli di nome, per impedire a una CA di emettere certificati per domini o entità non autorizzati.

Informazioni sui criteri di emissione dei certificati

Una policy di emissione dei certificati definisce i controlli su tutte le emissioni di certificati all'interno di un pool di CA. Un CA Manager può collegare un criterio di emissione dei certificati a un pool di CA per definire le limitazioni sul tipo di certificati che le CA nel pool di CA possono emettere. I criteri di emissione di certificati ti aiutano a:

• Aggiungi vincoli ai soggetti e ai SAN consentiti che possono essere richiesti. In questo modo viene convalidato chi o cosa può essere identificato nel certificato, ad esempio consentendo solo i certificati per il dominio della tua azienda.
• Definisci le limitazioni per identità dei certificati, durate dei certificati, tipi di chiavi, durata di retrodatazione e modalità di richiesta dei certificati.
• Aggiungi estensioni X.509 specifiche a tutti i certificati emessi.

Ti consigliamo di utilizzare una norma di emissione dei certificati quando si verifica uno o entrambi gli scenari seguenti:

1. Il pool di CA è progettato per emettere certificati in base a un profilo singolo e ben definito. Ad esempio, hai un pool di CA dedicato che emette certificati solo per i server web interni della tua azienda. Tutti questi certificati richiedono gli stessi parametri di base.

   • Tutti i certificati emessi hanno O=My organization nel soggetto.
   • Tutti i nomi DNS terminano con .cymbalgroup.com.
   • Sono validi per un anno.

   Un criterio di emissione dei certificati applica queste regole e garantisce che ogni certificato emesso da questo pool di CA rispetti questo profilo.

2. Vuoi definire una base di riferimento comune per le estensioni X.509 e le limitazioni aggiuntive che si applicano a tutti i profili di emissione dei certificati. Ad esempio, hai diversi tipi di certificati, come i certificati di firma email dei dipendenti (validi per 2 anni) e i certificati TLS per i siti web pubblici (validi per 1 anno). Puoi definire un criterio di emissione di base che si applica a tutti i certificati:

   • Tutti i certificati devono includere il nome dell'azienda nell'oggetto.
   • Tutti devono utilizzare un insieme specifico di estensioni X.509 per gli standard di sicurezza della tua organizzazione.

   Poi, puoi utilizzare i modelli di certificato per definire le variazioni specifiche per ogni tipo di certificato in base a questa base di riferimento.

Per informazioni sull'aggiunta di una policy di emissione dei certificati, vedi Aggiungere una policy di emissione dei certificati a un pool di CA.

Informazioni sui modelli di certificato

Un modello di certificato rappresenta uno schema di emissione di certificati relativamente statico e ben definito all'interno di un'organizzazione. Utilizzando i modelli di certificato, i certificati emessi da vari pool di CA condividono lo stesso formato e le stesse proprietà, indipendentemente dalla CA emittente. La risorsa CertificateTemplate include:

• Un'espressione Common Expression Language (CEL) valutata in base al soggetto e ai SAN richiesti in tutte le richieste di certificato che utilizzano il modello. Per saperne di più sull'utilizzo di CEL, consulta Utilizzo di CEL.
• Un elenco consentito che specifica se l'oggetto o il nome alternativo dell'oggetto può essere copiato dalla richiesta dell'utente finale al certificato emesso.
• Una lista consentita facoltativa che specifica quali estensioni X.509, se presenti, possono essere copiate dalla richiesta dell'utente finale al certificato emesso.
• Un insieme facoltativo di valori di estensione X.509 che vengono aggiunti a tutti i certificati emessi che utilizzano il modello.

Un modello di certificato può diventare un framework completo per l'emissione di certificati verticali. Per maggiori dettagli, consulta la definizione completa del messaggio CertificateTemplate.

Puoi utilizzare un template di certificato quando hai uno scenario di emissione di certificati ben definito. Puoi utilizzare i modelli di certificato per garantire la coerenza tra i certificati emessi da diversi pool di CA. Puoi anche utilizzare un modello di certificato per limitare i tipi di certificati che possono essere emessi da persone diverse.

Puoi anche utilizzare una combinazione di modelli di certificati e associazioni di ruoli condizionali IAM (Identity and Access Management) per definire i vincoli che si applicano alle richieste di certificati effettuate da service account specifici. Ad esempio, puoi creare un modello di certificato che consenta solo nomi DNS che terminano con .altostrat.com. Poi, puoi aggiungere un binding del ruolo condizionale per concedere al account di servizio l'autorizzazione my-service-account@my-project.iam.gserviceaccount.com di utilizzare solo quel modello quando richiede certificati da un pool di CA specifico. In questo modo, il account di servizio può emettere certificati solo con questa specifica limitazione SAN.

Per scoprire come creare template di certificati, consulta Crea un template di certificato.

Vincoli relativi ai nomi dei certificati CA

CA Service applica i vincoli relativi ai nomi nei certificati CA come definito nella sezione Vincoli relativi ai nomi del documento RFC 5280. I vincoli relativi ai nomi ti consentono di controllare quali nomi sono consentiti o esclusi nei certificati emessi dalle CA.

I vincoli relativi ai nomi vengono implementati utilizzando l'estensione Name Constraints nei certificati X.509. Questa estensione ti consente di specificare gli spazi dei nomi consentiti ed esclusi per vari moduli di nomi, come nomi DNS, indirizzi IP, indirizzi email e URL.

Ad esempio, puoi creare una CA con vincoli di nome per applicare le seguenti condizioni:

• Solo myownpersonaldomain.com e i relativi sottodomini possono essere utilizzati come nomi DNS.
• examplepetstore.com e i relativi sottodomini sono vietati come nomi DNS.

I vincoli relativi ai nomi sono definiti all'interno del certificato della CA. Ciò significa che tutti i certificati emessi da questa CA sono vincolati da questi vincoli. Quando una CA emette un certificato, controlla il nome del soggetto richiesto e tutti i nomi alternativi del soggetto (SAN) in base ai vincoli di nome definiti. Se un nome viola i vincoli, l'emissione del certificato viene rifiutata.

Puoi specificare i vincoli relativi ai nomi solo al momento della creazione della CA.

Vantaggi dell'utilizzo dei controlli dei criteri

I controlli delle policy ti aiutano a:

• Migliora la sicurezza limitando i tipi di certificati che possono essere emessi e riducendo il rischio di creazione e uso improprio di certificati non autorizzati.
• Rispetta i requisiti normativi e le best practice del settore per la gestione dei certificati.
• Ridurre lo sforzo manuale e i potenziali errori. I modelli di certificato semplificano l'emissione di certificati in modo coerente ed efficiente.
• Stabilisci la fiducia man mano che norme chiaramente definite e controlli rigorosi aumentano la fiducia nei certificati che emetti.

Applicazione dei controlli dei criteri

Quando qualcuno richiede un certificato, CA Service valuta questi controlli delle policy ai seguenti livelli:

1. Autorizzazioni Identity and Access Management (IAM): innanzitutto, il servizio verifica se il richiedente dispone delle autorizzazioni IAM necessarie per creare certificati o utilizzare il modello di certificato specificato. In questo modo, solo gli utenti autorizzati possono ottenere i certificati.

2. Norme di emissione dei certificati: il servizio convalida quindi la richiesta di certificato in base alle norme di emissione del pool di CA. In questo modo, la richiesta soddisfa i requisiti generali per i certificati emessi da questa CA.

3. Modello di certificato: se viene utilizzato un modello, la richiesta viene ulteriormente convalidata in base ai vincoli specifici del modello. In questo modo si garantisce che il certificato sia appropriato per l'uso previsto.

Le estensioni X.509 della policy di emissione dei certificati del pool di CA e del modello di certificato vengono aggiunte al certificato e alcuni valori vengono eliminati in base alle stesse policy. Prima di firmare il certificato, i vincoli relativi ai nomi nei certificati CA vengono convalidati rispetto al certificato per garantire che il soggetto sia conforme.

Conflitti tra norme

Quando si utilizzano diversi meccanismi di controllo delle norme in combinazione, è possibile che le norme a livelli diversi entrino in conflitto. Ad esempio, un modello di certificato potrebbe consentire un tipo di chiave (come ECDSA) che i criteri di emissione del pool di CA vietano. oppure il modello di certificato e la policy di emissione potrebbero specificare valori diversi per la stessa estensione X.509.

Per scoprire come gestire i conflitti tra le policy in CA Service, consulta Informazioni sui conflitti tra le policy.

Passaggi successivi

• Scopri come implementare i controlli delle norme.
• Scopri di più sull'utilizzo di Common Expression Language (CEL).