Pesquisar

Capítulo 4. Planejando seus serviços de CA

download PDF

O Gerenciamento de Identidade (IdM) no Red Hat Enterprise Linux fornece diferentes tipos de configurações de autoridade de certificado (CA). As seções seguintes descrevem diferentes cenários e fornecem conselhos para ajudá-lo a determinar qual configuração é a melhor para seu caso de uso.

4.1. Serviços CA disponíveis em um servidor IdM

Você pode instalar um servidor de Gerenciamento de Identidade (IdM) com uma autoridade de certificado IdM integrada (CA) ou sem uma CA.

Tabela 4.1. Comparação entre IdM com CA integrada e sem CA
 CA integradaSem um CA

Visão geral:

IdM usa seu próprio serviço de infra-estrutura de chave pública (PKI) com um CA signing certificate para criar e assinar os certificados no domínio IdM.

  • Se a CA de raiz é a CA integrada, a IdM usa um certificado CA autoassinado.
  • Se a CA raiz for uma CA externa, a CA IdM integrada é subordinada à CA externa. O certificado CA usado pelo IdM é assinado pela CA externa, mas todos os certificados para o domínio do IdM são emitidos pela instância do Sistema de Certificado integrado.
  • A CA integrada também é capaz de emitir certificados para usuários, anfitriões ou serviços.

A AC externa pode ser uma AC corporativa ou uma AC de terceiros.

A IdM não cria sua própria CA, mas utiliza certificados de host assinados por uma CA externa.

A instalação de um servidor sem CA exige que você solicite os seguintes certificados a uma autoridade terceirizada:

  • Um certificado de servidor LDAP
  • Um certificado de servidor Apache
  • Um certificado PKINIT
  • Cadeia completa de certificados CA da CA que emitiu os certificados de servidor LDAP e Apache

Limitações:

Se a CA integrada estiver subordinada a uma CA externa, os certificados emitidos dentro do domínio IdM estão potencialmente sujeitos a restrições estabelecidas pela CA externa para vários atributos de certificado, como por exemplo:

  • O período de validade.
  • Restrições sobre quais nomes de assuntos podem aparecer nos certificados emitidos pela IDM CA ou por seus subordinados.
  • Restrições sobre se a IDM CA pode ela mesma, emitir certificados CA subordinados, ou como "profunda" a cadeia de certificados subordinados pode ir.

O gerenciamento de certificados fora da IdM causa muitas atividades adicionais, tais como :

  • A criação, o carregamento e a renovação de certificados é um processo manual.
  • O serviço certmonger não rastreia os certificados IPA (servidor LDAP, servidor Apache e certificados PKINIT) e não o notifica quando os certificados estão prestes a expirar. Os administradores devem configurar manualmente as notificações para certificados emitidos externamente, ou definir pedidos de rastreamento para esses certificados se quiserem que certmonger os rastreie.

Funciona melhor para:

Ambientes que lhe permitem criar e utilizar sua própria infra-estrutura de certificados.

Casos muito raros quando as restrições dentro da infra-estrutura não permitem a instalação de serviços de certificado integrados ao servidor.

Nota

A mudança da CA autoassinada para uma CA com assinatura externa, ou o contrário, assim como a mudança de qual CA externa emite o certificado da IdM CA, é possível mesmo após a instalação. Também é possível configurar uma CA integrada mesmo depois de uma instalação sem uma CA.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.