Red Hat SummitCapítulo 41. Creación y gestión de perfiles de certificado en la Gestión de Identidades
Los perfiles de certificado son utilizados por la Autoridad de Certificación (CA) cuando firma certificados para determinar si una solicitud de firma de certificado (CSR) es aceptable y, en caso afirmativo, qué características y extensiones están presentes en el certificado. Un perfil de certificado está asociado a la emisión de un tipo concreto de certificado. Al combinar los perfiles de certificado y las listas de control de acceso (ACL) de la CA, puede definir y controlar el acceso a los perfiles de certificado personalizados.
Al describir cómo crear perfiles de certificado, los procedimientos utilizan los certificados S/MIME como ejemplo. Algunos programas de correo electrónico admiten el correo electrónico firmado y cifrado digitalmente mediante el protocolo Secure Multipurpose Internet Mail Extension (S/MIME). El uso de S/MIME para firmar o cifrar mensajes de correo electrónico requiere que el remitente del mensaje tenga un certificado S/MIME.
- ¿Qué es un perfil de certificado?
- Creación de un modelo de certificado
- ¿Qué es una lista de control de acceso de CA?
- Definición de una ACL de CA para controlar el acceso a los perfiles de certificado
- Uso de perfiles de certificado y ACLs de CA para emitir certificados
- Modificación de un modelo de certificado
- Parámetros de configuración del modelo de certificado
41.1. ¿Qué es un modelo de certificado?
Puede utilizar los perfiles de certificado para determinar el contenido de los certificados, así como las restricciones para la emisión de los mismos, como las siguientes:
- El algoritmo de firma que se utilizará para cifrar la solicitud de firma de certificado.
- La validez por defecto del certificado.
- Los motivos de revocación que pueden utilizarse para revocar un certificado.
- Si el nombre común del mandante se copia en el campo de nombre alternativo del sujeto.
- Las características y extensiones que deben estar presentes en el certificado.
Un único perfil de certificado se asocia a la emisión de un tipo concreto de certificado. Puede definir diferentes perfiles de certificado para usuarios, servicios y hosts en IdM. IdM incluye por defecto los siguientes perfiles de certificado:
-
caIPAserviceCert -
IECUserRoles -
KDCs_PKINIT_Certs(utilizado internamente)
Además, puede crear e importar perfiles personalizados, que le permiten emitir certificados para fines específicos. Por ejemplo, puede restringir el uso de un perfil concreto a un solo usuario o grupo, impidiendo que otros usuarios y grupos utilicen ese perfil para emitir un certificado para la autenticación. Para crear perfiles de certificado personalizados, utilice el comando ipa certprofile.
Recursos adicionales
-
Para obtener información sobre el comando
ipa certprofile, ejecute el comandoipa help certprofile.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}