50.3.2. Criação de uma ACL CA para servidores web autenticados a clientes web usando certificados emitidos por webserver-ca
Esta seção descreve como criar uma ACL CA que requer que o administrador do sistema utilize o sub-CA webserver-ca e o perfil caIPAserviceCert ao solicitar um certificado para o serviço HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM. Se o usuário solicitar um certificado de uma sub-CA diferente ou de um perfil diferente, a solicitação falha. A única exceção é quando há outra CA ACL correspondente que está habilitada. Para visualizar as ACLs CA disponíveis, consulte Visualizando as ACLs CA em IdM CLI.
Pré-requisitos
- Certifique-se de que o serviço HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM seja parte da IdM.
- Certifique-se de ter obtido as credenciais do administrador da IdM.
Procedimento
Criar uma CA ACL usando o comando
ipa caacl
, e especificar seu nome:$ ipa caacl-add TLS_web_server_authentication -------------------------------------------- Added CA ACL "TLS_web_server_authentication" -------------------------------------------- ACL name: TLS_web_server_authentication Enabled: TRUE
Modificar a CA ACL usando o comando
ipa caacl-mod
para especificar a descrição da CA ACL:$ ipa caacl-mod TLS_web_server_authentication --desc="CAACL for web servers authenticating to web clients using certificates issued by webserver-ca" ----------------------------------------------- Modified CA ACL "TLS_web_server_authentication" ----------------------------------------------- ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE
Adicione o sub-CA webserver-ca ao CA ACL:
$ ipa caacl-add-ca TLS_web_server_authentication --ca=webserver-ca ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca ------------------------- Number of members added 1 -------------------------
Use o
ipa caacl-add-service
para especificar o serviço cujo diretor poderá solicitar um certificado:$ ipa caacl-add-service TLS_web_server_authentication --service=HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Use o comando
ipa caacl-add-profile
para especificar o modelo de certificado para o certificado solicitado:$ ipa caacl-add-profile TLS_web_server_authentication --certprofiles=caIPAserviceCert ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Você pode usar imediatamente a ACL recém-criada CA ACL. Ela é habilitada após sua criação por padrão.
O objetivo dos ACLs CA é especificar quais CA e combinações de perfis são permitidas para pedidos vindos de determinados diretores ou grupos. As CA ACLs não afetam a validação de certificados ou a confiança. Elas não afetam a forma como os certificados emitidos serão utilizados.