Capítulo 50. Restringindo um pedido de confiança apenas a um subconjunto de certificados
Se sua instalação de Gerenciamento de Identidade (IdM) estiver configurada com a autoridade de certificação (CA) do Sistema de Certificado (CS) integrado, você será capaz de criar sub-CAs leves. Todas as sub-CAs que você criar estão subordinadas à CA primária do sistema de certificado, a CA ipa.
Um lightweight sub-CA neste contexto significa a sub-CA issuing certificates for a specific purpose. Por exemplo, um sub-CA leve permite que você configure um serviço, como um gateway de rede privada virtual (VPN) e um navegador web, para aceitar apenas certificados emitidos por sub-CA A. Ao configurar outros serviços para aceitar certificados emitidos apenas por sub-CA B, você impede que eles aceitem certificados emitidos por sub-CA A, a CA primária, ou seja, a ipa
CA, e qualquer sub-CA intermediária entre os dois.
Se você revogar o certificado intermediário de uma sub-CA, todos os certificados emitidos por esta sub-CA são automaticamente considerados inválidos pelos clientes corretamente configurados. Todos os outros certificados emitidos diretamente pela CA raiz, ipa, ou por outra sub-CA, permanecem válidos.
Esta seção usa o exemplo do servidor web Apache para ilustrar como restringir uma aplicação para confiar apenas em um subconjunto de certificados. Complete esta seção para restringir o servidor web executado em seu cliente IdM para usar um certificado emitido pela sub-CA webserver-ca IdM, e para exigir que os usuários se autentiquem ao servidor web usando certificados de usuário emitidos pela sub-CA webclient-ca IdM.
As medidas que você precisa tomar são:
- Criar um sub-CA IdM
- Baixe o certificado de sub-CA da IdM WebUI
- Criar uma ACL CA especificando a combinação correta de usuários, serviços e ACs, e o perfil de certificado utilizado
- Solicitar um certificado para o serviço web executado em um cliente IdM da sub-CA da IdM
- Configurar um Servidor HTTP Apache de uma única instância
- Adicionar a criptografia TLS ao Servidor HTTP Apache
- Definir as versões do protocolo TLS suportadas em um Servidor HTTP Apache
- Configure as cifras suportadas no Servidor HTTP Apache
- Configurar a autenticação do certificado do cliente TLS no servidor web
- Solicitar um certificado para o usuário da sub-CA da IdM e exportá-lo para o cliente
- Importar o certificado de usuário para o navegador e configurar o navegador para confiar no certificado de sub-CA
50.1. Criação de um sub-CA leve
Para detalhes sobre a criação de um sub-CA, veja:
50.1.1. Criando um sub-CA da IdM WebUI
Este procedimento descreve como usar IdM WebUI para criar novas sub-CAs com o nome webserver-ca e webclient-ca.
Pré-requisitos
- Certifique-se de ter obtido as credenciais do administrador.
Procedimento
- No menu Authentication, clique em Certificates.
- Selecione Certificate Authorities e clique em Add.
- Digite o nome da sub-CA webserver-ca. Digite o Subject DN, por exemplo CN=WEBSERVER,O=IDM.EXAMPLE.COM, no campo Subject DN. Observe que o Subject DN deve ser único na infra-estrutura da IdM CA.
- Digite o nome da sub-CA webclient-ca. Digite o Subject DN CN=WEBCLIENT,O=IDM.EXAMPLE.COM no campo Subject DN.
Na interface da linha de comando, execute o comando
ipa-certupdate
para criar um pedido de rastreamento certmonger para os certificados das sub-CAs webserver-ca e webclient-ca:[root@ipaserver ~]#
ipa-certupdate
ImportanteEsquecer de executar o comando
ipa-certupdate
após criar uma sub-CA significa que se o certificado de sub-CA expirar, os certificados de entidade final emitidos pela sub-CA são considerados inválidos mesmo que o certificado de entidade final não tenha expirado.Opcionalmente, para verificar se o certificado de assinatura do novo sub-CA foi adicionado ao banco de dados do IdM, entre:
[root@ipaserver ~]#
certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI caSigningCert cert-pki-ca CTu,Cu,Cu Server-Cert cert-pki-ca u,u,u auditSigningCert cert-pki-ca u,u,Pu caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,uNotaO novo certificado de sub-CA é transferido automaticamente para todas as réplicas que têm uma instância de sistema de certificado instalada.
50.1.2. Criação de um sub-CA da IdM CLI
Este procedimento descreve como usar o IdM CLI para criar novas sub-CAs com o nome webserver-ca e webclient-ca.
Pré-requisitos
- Certifique-se de que você obteve as credenciais do administrador.
- Certifique-se de estar logado em um servidor IdM que seja um servidor CA.
Procedimento
Digite o comando
ipa ca-add
e especifique o nome da sub-CA webserver-ca e seu Nome Distinto do Assunto (DN):[root@ipaserver ~]#
ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
------------------- Created CA "webserver-ca" ------------------- Name: webserver-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM- Nome
- Nome do CA.
- Identificação da autoridade
- Criado automaticamente, identificação individual para a CA.
- Assunto DN
- Nome do Assunto Distinguido (DN). O DN do Assunto deve ser único na infra-estrutura da IdM CA.
- Emissor DN
- A matriz CA que emitiu o certificado de sub-CA. Todas as sub-CAs são criadas como uma criança da raiz do IdM CA.
Criar o sub-CA webclient-ca para emissão de certificados para clientes web:
[root@ipaserver ~]#
ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
------------------- Created CA "webclient-ca" ------------------- Name: webclient-ca Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COMNa interface da linha de comando, execute o comando ipa-certupdate para criar um pedido de rastreamento certmonger para os certificados das sub-CAs webserver-ca e webclient-ca:
[root@ipaserver ~]#
ipa-certupdate
ImportanteEsquecer de executar o comando ipa-certupdate após criar uma sub-CA significa que se o certificado de sub-CA expirar, os certificados de entidade final emitidos pela sub-CA são considerados inválidos mesmo que o certificado de entidade final não tenha expirado.
Opcionalmente, para verificar se o certificado de assinatura do novo sub-CA foi adicionado ao banco de dados do IdM, entre:
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI caSigningCert cert-pki-ca CTu,Cu,Cu Server-Cert cert-pki-ca u,u,u auditSigningCert cert-pki-ca u,u,Pu caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,u
NotaO novo certificado de sub-CA é transferido automaticamente para todas as réplicas que têm uma instância de sistema de certificado instalada.