50.3.3. Criação de uma ACL CA para navegadores web de usuários autenticados em servidores web usando certificados emitidos pela webclient-ca
Esta seção descreve como criar uma ACL CA que requer que o administrador do sistema utilize o sub-CA webclient-ca e o perfil IECUserRoles ao solicitar um certificado. Se o usuário solicitar um certificado de uma sub-CA diferente ou de um perfil diferente, a solicitação falha. A única exceção é quando há outra CA ACL correspondente que esteja habilitada. Para visualizar as ACLs CA disponíveis, consulte Visualizando as ACLs CA em IdM CLI.
Pré-requisitos
- Certifique-se de ter obtido as credenciais do administrador da IdM.
Procedimento
Criar uma CA ACL usando o comando
ipa caacl
e especificar seu nome:$ ipa caacl-add TLS_web_client_authentication -------------------------------------------- Added CA ACL "TLS_web_client_authentication" -------------------------------------------- ACL name: TLS_web_client_authentication Enabled: TRUE
Modificar a CA ACL usando o comando
ipa caacl-mod
para especificar a descrição da CA ACL:$ ipa caacl-mod TLS_web_client_authentication --desc="CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca" ----------------------------------------------- Modified CA ACL "TLS_web_client_authentication" ----------------------------------------------- ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE
Adicione o sub-CA webclient-ca ao CA ACL:
$ ipa caacl-add-ca TLS_web_client_authentication --ca=webclient-ca ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE CAs: webclient-ca ------------------------- Number of members added 1 -------------------------
Use o comando
ipa caacl-add-profile
para especificar o modelo de certificado para o certificado solicitado:$ ipa caacl-add-profile TLS_web_client_authentication --certprofiles=IECUserRoles ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE CAs: webclient-ca Profiles: IECUserRoles ------------------------- Number of members added 1 -------------------------
Modificar a CA ACL usando o comando
ipa caacl-mod
para especificar que a CA ACL se aplica a todos os usuários da IdM:$ ipa caacl-mod TLS_web_client_authentication --usercat=all ----------------------------------------------- Modified CA ACL "TLS_web_client_authentication" ----------------------------------------------- ACL name: TLS_web_client_authentication Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca Enabled: TRUE User category: all CAs: webclient-ca Profiles: IECUserRoles
Você pode usar imediatamente a ACL recém-criada CA ACL. Ela é habilitada após sua criação por padrão.
O objetivo dos ACLs CA é especificar quais CA e combinações de perfis são permitidas para pedidos vindos de determinados diretores ou grupos. As CA ACLs não afetam a validação de certificados ou a confiança. Elas não afetam a forma como os certificados emitidos serão utilizados.