Red Hat Training
A Red Hat training course is available for RHEL 8
50.3.2. Creación de una CA ACL para servidores web que se autentiquen ante clientes web utilizando certificados emitidos por webserver-ca
Esta sección describe cómo crear una ACL de CA que requiera que el administrador del sistema utilice la sub-CA webserver-ca y el perfil caIPAserviceCert cuando solicite un certificado para el servicio HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM. Si el usuario solicita un certificado de una sub-CA diferente o de un perfil diferente, la solicitud falla. La única excepción es cuando hay otra ACL de CA coincidente que está habilitada. Para ver las ACL de CA disponibles, consulte Visualización de las ACL de CA en la CLI de IdM.
Requisitos previos
- Asegúrese de que el servicio HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM forma parte de IdM.
- Asegúrate de haber obtenido las credenciales de administrador de IdM.
Procedimiento
Cree una ACL de CA con el comando
ipa caacl
y especifique su nombre:$ ipa caacl-add TLS_web_server_authentication -------------------------------------------- Added CA ACL "TLS_web_server_authentication" -------------------------------------------- ACL name: TLS_web_server_authentication Enabled: TRUE
Modifique la CA ACL utilizando el comando
ipa caacl-mod
para especificar la descripción de la CA ACL:$ ipa caacl-mod TLS_web_server_authentication --desc="CAACL for web servers authenticating to web clients using certificates issued by webserver-ca" ----------------------------------------------- Modified CA ACL "TLS_web_server_authentication" ----------------------------------------------- ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE
Añada la sub-CA webserver-ca a la ACL de la CA:
$ ipa caacl-add-ca TLS_web_server_authentication --ca=webserver-ca ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca ------------------------- Number of members added 1 -------------------------
Utilice la dirección
ipa caacl-add-service
para especificar el servicio cuyo titular podrá solicitar un certificado:$ ipa caacl-add-service TLS_web_server_authentication --service=HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Utilice el comando
ipa caacl-add-profile
para especificar el perfil de certificado para el certificado solicitado:$ ipa caacl-add-profile TLS_web_server_authentication --certprofiles=caIPAserviceCert ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/my_company.idm.example.com@IDM.EXAMPLE.COM ------------------------- Number of members added 1 -------------------------
Puede utilizar la ACL recién creada inmediatamente. Se habilita por defecto tras su creación.
El objetivo de las ACL de CA es especificar qué combinaciones de CA y perfiles están permitidas para las solicitudes procedentes de determinados mandantes o grupos. Las ACL de CA no afectan a la validación de certificados ni a la confianza. No afectan a cómo se utilizarán los certificados emitidos.