Red Hat SummitCapítulo 38. Certificados de clave pública en la gestión de identidades
Este capítulo describe los certificados de clave pública X.509, que se utilizan para autenticar usuarios, hosts y servicios en la gestión de identidades (IdM). Además de la autenticación, los certificados X.509 también permiten la firma digital y el cifrado para proporcionar privacidad, integridad y no repudio.
Un certificado contiene la siguiente información:
- El sujeto que el certificado autentifica.
- El emisor, es decir, la CA que ha firmado el certificado.
- La fecha de inicio y fin de la validez del certificado.
- Los usos válidos del certificado.
- La clave pública del sujeto.
Un mensaje cifrado por la clave pública sólo puede ser descifrado por una clave privada correspondiente. Mientras que un certificado y la clave pública que incluye pueden hacerse públicos, el usuario, el host o el servicio deben mantener su clave privada en secreto.
38.1. Autoridades de certificación en IdM
Las autoridades de certificación operan en una jerarquía de confianza. En un entorno IdM con una Autoridad de Certificación (CA) interna, todos los hosts, usuarios y servicios IdM confían en los certificados que han sido firmados por la CA. Además de esta CA raíz, IdM admite sub-CAs a las que la CA raíz ha concedido la capacidad de firmar certificados a su vez. Con frecuencia, los certificados que estas sub-CAs pueden firmar son certificados de un tipo específico, por ejemplo, certificados VPN. Por último, IdM admite el uso de CAs externas. La siguiente tabla presenta las particularidades del uso de los distintos tipos de CA en IdM.
| Nombre de la AC | Descripción | Utilice | Enlaces útiles |
|---|---|---|---|
|
El | Una AC integrada basada en el proyecto Dogtag upstream | Las CAs integradas pueden crear, revocar y emitir certificados para usuarios, hosts y servicios. | Utilizar la CA ipa para solicitar un nuevo certificado de usuario y exportarlo al cliente |
| Sub-CAs de IdM |
Una CA integrada que está subordinada a la CA |
Las sub-CAs de IdM son CAs a las que la CA de | Restringir una aplicación para que confíe sólo en un subconjunto de certificados |
| CAs externas | Una CA externa es una CA distinta de la CA de IdM integrada o de sus sub-CAs. | Mediante las herramientas de IdM, se pueden añadir certificados emitidos por estas CA a usuarios, servicios o hosts, así como eliminarlos. | Gestión de certificados emitidos por CAs externas en la documentación de RHEL 7 |
Desde el punto de vista del certificado, no hay diferencia entre estar firmado por una CA IdM autofirmada y estarlo externamente.
El papel de la AC incluye los siguientes propósitos:
- Emite certificados digitales.
- Al firmar un certificado, se certifica que el sujeto nombrado en el certificado posee una clave pública. El sujeto puede ser un usuario, un host o un servicio.
- Puede revocar certificados y proporciona el estado de revocación a través de las listas de revocación de certificados (CRL) y el protocolo de estado de los certificados en línea (OCSP).
Recursos adicionales
- Para obtener más detalles sobre las configuraciones de CA compatibles con el servidor de IdM, consulte Planificación de los servicios de CA.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}