Capítulo 51. Invalidação rápida de um grupo específico de certificados relacionados
Como administrador do sistema, se você quiser ser capaz de invalidar rapidamente um grupo específico de certificados relacionados:
- Projete suas aplicações para que elas só confiem em certificados emitidos por uma sub-CA específica de Gerenciamento de Identidade (IdM) leve. Depois disso, você poderá invalidar todos estes certificados, revogando apenas o certificado da sub-CA de Gerenciamento de Identidade (IdM) que emitiu estes certificados. Para detalhes sobre como criar e usar uma sub-CA leve em IdM, veja Capítulo 50, Restringindo um pedido de confiança apenas a um subconjunto de certificados.
Para garantir que todos os certificados que foram emitidos pelo sub-CA IdM a ser invocado sejam imediatamente inválidos, configure as aplicações que dependem de tais certificados para usar os respondedores do IdM OCSP. Por exemplo, para configurar o navegador Firefox para usar os respondedores OCSP, certifique-se de que a caixa de seleção
Query OCSP responder servers to confirm the current validity of certificates
esteja marcada em Preferências do Firefox.Na IdM, a lista de revogação de certificados (CRL) é atualizada a cada quatro horas.
Para invalidar todos os certificados emitidos por uma sub-CA IdM, revogar o certificado da sub-CA IdM. Além disso, desabilitar as ACLs CA relevantes e considerar a desabilitação da sub-CA IdM. A desativação da sub-CA impede que a sub-CA emita novos certificados, mas permite que respostas do Protocolo de Status de Certificado On-line (OCSP) sejam produzidas para certificados emitidos anteriormente, porque as chaves de assinatura da sub-CA são retidas.
Não exclua o sub-CA se você usar OCSP em seu ambiente. A exclusão do sub-CA elimina as chaves de assinatura do sub-CA, impedindo a produção de respostas OCSP para certificados emitidos por esse sub-CA.
O único cenário ao excluir uma sub-CA é preferível a desativá-la quando se deseja criar uma nova sub-CA com o mesmo nome distinto de Assunto (DN), mas com uma nova chave de assinatura.
51.1. Desabilitando ACLs CA em IdM CLI
Quando você quiser aposentar um serviço IdM ou um grupo de serviços IdM, considere a possibilidade de desativar quaisquer ACLs CA correspondentes existentes.
Complete esta seção para desativar o TLS_web_server_authentication CA ACL que restringe o servidor web executado em seu cliente IdM para solicitar um certificado a ser emitido pela sub-CA webserver-ca
IdM, e para desativar o TLS_web_client_authentication CA ACL que restringe os usuários IdM para solicitar um certificado de usuário a ser emitido pela sub-CA webclient-ca
IdM.
Procedimento
Opcionalmente, para visualizar todas as ACLs CA em seu ambiente IdM, digite o comando
ipa caacl-find
:$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE
Opcionalmente, para visualizar os detalhes de uma CA ACL, digite o comando
ipa caacl-show
e especifique o nome da CA ACL:$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM
Para desativar uma CA ACL, digite o comando
ipa caacl-disable
, e especifique o nome da CA ACL.Para desativar a CA ACL TLS_web_server_authentication, entre:
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
Para desativar a CA ACL TLS_web_client_authentication, entre:
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
A única CA ACL habilitada agora é a hosts_services_caIPAserviceCert CA ACL.
ImportanteSeja extremamente cuidadoso ao desativar a CA ACL
hosts_services_caIPAserviceCert
. Desativarhosts_services_caIPAserviceCert
, sem que outra CA ACL conceda aos servidores da IdM o uso daipa
CA com o perfilcaIPAserviceCert
significa que a renovação do certificado da IdMHTTP
eLDAP
falhará. Os certificados expirados do IdMHTTP
eLDAP
eventualmente causarão falha no sistema IdM.