Red Hat SummitCapítulo 38. Certificados de chave pública na Gestão da Identidade
Este capítulo descreve os certificados de chave pública X.509, que são usados para autenticar usuários, hosts e serviços em Gerenciamento de Identidade (IdM). Além da autenticação, os certificados X.509 também permitem a assinatura digital e a criptografia para proporcionar privacidade, integridade e não repúdio.
Um certificado contém as seguintes informações:
- O assunto que o certificado autentica.
- O emissor, ou seja, a CA que assinou o certificado.
- A data de início e fim da validade do certificado.
- Os usos válidos do certificado.
- A chave pública do assunto.
Uma mensagem criptografada pela chave pública só pode ser descriptografada por uma chave privada correspondente. Enquanto um certificado e a chave pública que ele inclui podem ser disponibilizados publicamente, o usuário, host ou serviço deve manter sua chave privada em segredo.
38.1. Autoridades certificadoras na IdM
As autoridades certificadoras operam em uma hierarquia de confiança. Em um ambiente IdM com uma Autoridade Certificadora (CA) interna, todos os hospedeiros, usuários e serviços da IdM confiam nos certificados que foram assinados pela CA. Além desta CA raiz, o IdM suporta sub-CAs às quais a CA raiz concedeu a capacidade de assinar certificados por sua vez. Freqüentemente, os certificados que tais sub-CAs são capazes de assinar são certificados de um tipo específico, por exemplo, certificados VPN. Finalmente, o IdM suporta o uso de ACs externas. A tabela abaixo apresenta as especificidades do uso dos tipos individuais de CA no IdM.
| Nome do CA | Descrição | Use | Links úteis |
|---|---|---|---|
|
O | Uma CA integrada baseada no projeto Dogtag upstream | Os CAs integrados podem criar, revogar e emitir certificados para usuários, hosts e serviços. | Usando a ipa CA para solicitar um novo certificado de usuário e exportá-lo para o cliente |
| Sub-CAs IdM |
Uma CA integrada que está subordinada à CA |
As sub-CAs de IdM são CAs às quais a CA | Restringindo um pedido de confiança apenas a um subconjunto de certificados |
| ACs externos | Uma CA externa é uma CA diferente da CA IdM integrada ou suas sub-CAs. | Usando ferramentas IdM, você adiciona certificados emitidos por estas CAs aos usuários, serviços ou hosts, assim como os remove. | Gestão de certificados emitidos por CAs externas na documentação RHEL 7 |
Do ponto de vista do certificado, não há diferença entre ser assinado por uma IdM CA autoassinada e ser assinado externamente.
O papel do CA inclui os seguintes propósitos:
- Ela emite certificados digitais.
- Ao assinar um certificado, ele certifica que o sujeito mencionado no certificado possui uma chave pública. O assunto pode ser um usuário, host ou serviço.
- Ele pode revogar certificados e fornece o status de revogação através de Listas de Revogação de Certificados (CRLs) e Protocolo Online de Status de Certificados (OCSP).
Recursos adicionais
- Para mais detalhes sobre as configurações CA suportadas do servidor IdM, consulte Planejamento de seus serviços CA.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}