Red Hat Training

A Red Hat training course is available for RHEL 8

50.3.3. Creación de una CA ACL para los navegadores web de los usuarios que se autentiquen en los servidores web utilizando certificados emitidos por webclient-ca

Esta sección describe cómo crear una ACL de CA que requiera que el administrador del sistema utilice la sub-CA webclient-ca y el perfil IECUserRoles cuando solicite un certificado. Si el usuario solicita un certificado de una sub-CA diferente o de un perfil diferente, la solicitud falla. La única excepción es cuando hay otra ACL de CA coincidente que está habilitada. Para ver las ACL de CA disponibles, consulte Visualización de las ACL de CA en la CLI de IdM.

Requisitos previos

  • Asegúrate de haber obtenido las credenciales de administrador de IdM.

Procedimiento

  1. Cree una ACL de CA con el comando ipa caacl y especifique su nombre: 

    $ ipa caacl-add TLS_web_client_authentication
--------------------------------------------
Added CA ACL "TLS_web_client_authentication"
--------------------------------------------
  ACL name: TLS_web_client_authentication
  Enabled: TRUE

  2. Modifique la CA ACL utilizando el comando ipa caacl-mod para especificar la descripción de la CA ACL: 

    $ ipa caacl-mod TLS_web_client_authentication --desc="CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca"
-----------------------------------------------
Modified CA ACL "TLS_web_client_authentication"
-----------------------------------------------
  ACL name: TLS_web_client_authentication
  Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
  Enabled: TRUE

  3. Añada la sub-CA webclient-ca a la ACL de la CA: 

    $ ipa caacl-add-ca TLS_web_client_authentication --ca=webclient-ca
  ACL name: TLS_web_client_authentication
  Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
  Enabled: TRUE
  CAs: webclient-ca
-------------------------
Number of members added 1
-------------------------

  4. Utilice el comando ipa caacl-add-profile para especificar el perfil de certificado para el certificado solicitado: 

    $ ipa caacl-add-profile TLS_web_client_authentication --certprofiles=IECUserRoles
  ACL name: TLS_web_client_authentication
  Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
  Enabled: TRUE
  CAs: webclient-ca
  Profiles: IECUserRoles
-------------------------
Number of members added 1
-------------------------

  5. Modifique la ACL de CA mediante el comando ipa caacl-mod para especificar que la ACL de CA se aplica a todos los usuarios de IdM: 

    $ ipa caacl-mod TLS_web_client_authentication --usercat=all
-----------------------------------------------
Modified CA ACL "TLS_web_client_authentication"
-----------------------------------------------
  ACL name: TLS_web_client_authentication
  Description: CAACL for user web browsers authenticating to web servers using certificates issued by webclient-ca
  Enabled: TRUE
  User category: all
  CAs: webclient-ca
  Profiles: IECUserRoles

    Puede utilizar la ACL recién creada inmediatamente. Se habilita por defecto tras su creación.

Nota

El objetivo de las ACL de CA es especificar qué combinaciones de CA y perfiles están permitidas para las solicitudes procedentes de determinados mandantes o grupos. Las ACL de CA no afectan a la validación de certificados ni a la confianza. No afectan a cómo se utilizarán los certificados emitidos.