Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 51. Invalidar rápidamente un grupo específico de certificados relacionados
Como administrador del sistema, si quiere ser capaz de invalidar un grupo específico de certificados relacionados rápidamente:
- Diseñe sus aplicaciones de forma que sólo confíen en los certificados emitidos por una sub-CA específica de Gestión de Identidades (IdM) ligera. Posteriormente, podrá invalidar todos estos certificados revocando únicamente el certificado de la sub-CA de Gestión de Identidades (IdM) que emitió estos certificados. Para obtener detalles sobre cómo crear y utilizar una sub-CA ligera en IdM, consulte Capítulo 50, Restringir una aplicación para que confíe sólo en un subconjunto de certificados.
Para asegurarse de que todos los certificados que han sido emitidos por la sub-CA de IdM que se va a revocar son inmediatamente inválidos, configure las aplicaciones que dependen de dichos certificados para que utilicen los respondedores OCSP de IdM. Por ejemplo, para configurar el navegador Firefox para que utilice respondedores OCSP, asegúrese de que la casilla de verificación
Query OCSP responder servers to confirm the current validity of certificates
esté marcada en las Preferencias de Firefox.En IdM, la lista de revocación de certificados (CRL) se actualiza cada cuatro horas.
Para invalidar todos los certificados emitidos por una sub-CA de IdM, revoque el certificado de la sub-CA de IdM. Además, desactive las ACL pertinentes de la CA y considere la posibilidad de desactivar la sub-CA de IdM. La desactivación de la sub-CA impide que la sub-CA emita nuevos certificados, pero permite que se produzcan respuestas del Protocolo de Estado de los Certificados en Línea (OCSP) para los certificados emitidos anteriormente, ya que se conservan las claves de firma de la sub-CA.
No elimine la sub-CA si utiliza OCSP en su entorno. Al eliminar la sub-CA se borran las claves de firma de la sub-CA, impidiendo la producción de respuestas OCSP para los certificados emitidos por esa sub-CA.
El único escenario en el que es preferible eliminar una sub-CA a desactivarla es cuando se quiere crear una nueva sub-CA con el mismo nombre distinguido (DN) del sujeto pero con una nueva clave de firma.
51.1. Desactivación de las ACL de CA en la CLI de IdM
Cuando desee retirar un servicio de IdM o un grupo de servicios de IdM, considere la posibilidad de deshabilitar cualquier ACL de CA existente.
Complete esta sección para desactivar la ACL TLS_web_server_authentication CA que restringe el servidor web que se ejecuta en su cliente IdM para solicitar un certificado que debe emitir la sub-CA webserver-ca
IdM, y para desactivar la ACL TLS_web_client_authentication CA que restringe a los usuarios de IdM para solicitar un certificado de usuario que debe emitir la sub-CA webclient-ca
IdM.
Procedimiento
Opcionalmente, para ver todas las ACL de la CA en su entorno IdM, introduzca el comando
ipa caacl-find
:$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE
Opcionalmente, para ver los detalles de una CA ACL, introduzca el comando
ipa caacl-show
y especifique el nombre de la CA ACL:$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM
Para desactivar una CA ACL, introduzca el comando
ipa caacl-disable
y especifique el nombre de la CA ACL.Para desactivar la ACL de TLS_web_server_authentication CA, introduzca:
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
Para desactivar la ACL de TLS_web_client_authentication CA, introduzca:
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
La única ACL de CA habilitada ahora es la ACL de CA de hosts_services_caIPAserviceCert.
ImportanteTenga mucho cuidado al desactivar la ACL de la CA
hosts_services_caIPAserviceCert
. Desactivarhosts_services_caIPAserviceCert
, sin otra ACL de CA que conceda a los servidores IdM el uso de la CAipa
con el perfilcaIPAserviceCert
significa que la renovación de los certificados IdMHTTP
yLDAP
fallará. Los certificados IdMHTTP
yLDAP
caducados acabarán provocando un fallo del sistema IdM.