Pesquisar

50.3.2. Criação de uma ACL CA para servidores web autenticados a clientes web usando certificados emitidos por webserver-ca

download PDF

Esta seção descreve como criar uma ACL CA que requer que o administrador do sistema utilize o sub-CA webserver-ca e o perfil caIPAserviceCert ao solicitar um certificado para o serviço HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM. Se o usuário solicitar um certificado de uma sub-CA diferente ou de um perfil diferente, a solicitação falha. A única exceção é quando há outra CA ACL correspondente que está habilitada. Para visualizar as ACLs CA disponíveis, consulte Visualizando as ACLs CA em IdM CLI.

Pré-requisitos

  • Certifique-se de que o serviço HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM seja parte da IdM.
  • Certifique-se de ter obtido as credenciais do administrador da IdM.

Procedimento

  1. Criar uma CA ACL usando o comando ipa caacl, e especificar seu nome:

    $ ipa caacl-add TLS_web_server_authentication
    --------------------------------------------
    Added CA ACL "TLS_web_server_authentication"
    --------------------------------------------
      ACL name: TLS_web_server_authentication
      Enabled: TRUE
  2. Modificar a CA ACL usando o comando ipa caacl-mod para especificar a descrição da CA ACL:

    $ ipa caacl-mod TLS_web_server_authentication --desc="CAACL for web servers authenticating to web clients using certificates issued by webserver-ca"
    -----------------------------------------------
    Modified CA ACL "TLS_web_server_authentication"
    -----------------------------------------------
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
  3. Adicione o sub-CA webserver-ca ao CA ACL:

    $ ipa caacl-add-ca TLS_web_server_authentication --ca=webserver-ca
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
    -------------------------
    Number of members added 1
    -------------------------
  4. Use o ipa caacl-add-service para especificar o serviço cujo diretor poderá solicitar um certificado:

    $ ipa caacl-add-service TLS_web_server_authentication --service=HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
      Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
    -------------------------
    Number of members added 1
    -------------------------
  5. Use o comando ipa caacl-add-profile para especificar o modelo de certificado para o certificado solicitado:

    $ ipa caacl-add-profile TLS_web_server_authentication --certprofiles=caIPAserviceCert
      ACL name: TLS_web_server_authentication
      Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca
      Enabled: TRUE
      CAs: webserver-ca
      Profiles: caIPAserviceCert
      Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM
    -------------------------
    Number of members added 1
    -------------------------

    Você pode usar imediatamente a ACL recém-criada CA ACL. Ela é habilitada após sua criação por padrão.

Nota

O objetivo dos ACLs CA é especificar quais CA e combinações de perfis são permitidas para pedidos vindos de determinados diretores ou grupos. As CA ACLs não afetam a validação de certificados ou a confiança. Elas não afetam a forma como os certificados emitidos serão utilizados.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.