Buscar

Capítulo 4. Planificación de los servicios de AC

download PDF

La Gestión de Identidades (IdM) en Red Hat Enterprise Linux proporciona diferentes tipos de configuraciones de autoridades de certificación (CA). Las siguientes secciones describen diferentes escenarios y proporcionan consejos para ayudarle a determinar qué configuración es la mejor para su caso de uso.

4.1. Servicios de CA disponibles en un servidor IdM

Puede instalar un servidor de gestión de identidades (IdM) con una autoridad de certificación (CA) de IdM integrada o sin una CA.

Tabla 4.1. Comparación de IdM con CA integrada y sin CA
 CA integradaSin una CA

Resumen:

IdM utiliza su propio servicio de infraestructura de clave pública (PKI) con un CA signing certificate para crear y firmar los certificados en el dominio IdM.

  • Si la CA raíz es la CA integrada, IdM utiliza un certificado de CA autofirmado.
  • Si la CA raíz es una CA externa, la CA de IdM integrada está subordinada a la CA externa. El certificado de CA utilizado por IdM está firmado por la CA externa, pero todos los certificados para el dominio de IdM son emitidos por la instancia del sistema de certificación integrado.
  • La CA integrada también puede emitir certificados para usuarios, hosts o servicios.

La CA externa puede ser una CA corporativa o una CA de terceros.

IdM no establece su propia CA, sino que utiliza certificados de host firmados por una CA externa.

La instalación de un servidor sin una CA requiere que se soliciten los siguientes certificados a una autoridad de terceros:

  • Un certificado de servidor LDAP
  • Un certificado de servidor Apache
  • Un certificado PKINIT
  • Cadena completa de certificados de la CA que emitió los certificados de los servidores LDAP y Apache

Limitaciones:

Si la CA integrada está subordinada a una CA externa, los certificados emitidos dentro del dominio IdM están potencialmente sujetos a las restricciones establecidas por la CA externa para varios atributos del certificado, como por ejemplo

  • El periodo de validez.
  • Restricciones sobre los nombres de sujetos que pueden aparecer en los certificados emitidos por la CA de IDM o sus subordinadas..
  • Restricciones en cuanto a si la CA de IDM puede emitir ella misma certificados de CA subordinados, o cuán "profunda" puede ser la cadena de certificados subordinados.

La gestión de los certificados fuera de IdM provoca un montón de actividades adicionales, como :

  • La creación, carga y renovación de certificados es un proceso manual.
  • El servicio certmonger no realiza un seguimiento de los certificados IPA (servidor LDAP, servidor Apache y certificados PKINIT) y no notifica cuando los certificados están a punto de caducar. Los administradores deben configurar manualmente las notificaciones para los certificados emitidos externamente, o establecer solicitudes de seguimiento para esos certificados si quieren que certmonger los rastree.

Funciona mejor para:

Entornos que le permiten crear y utilizar su propia infraestructura de certificados.

Casos muy raros en los que las restricciones de la infraestructura no permiten instalar servicios de certificados integrados en el servidor.

Nota

Es posible cambiar de la CA autofirmada a una CA firmada externamente, o al revés, así como cambiar qué CA externa emite el certificado de la CA de IdM, incluso después de la instalación. También es posible configurar una CA integrada incluso después de una instalación sin CA.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.