Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 50. Restringir una aplicación para que confíe sólo en un subconjunto de certificados

Si su instalación de gestión de identidades (IdM) está configurada con la autoridad de certificación (CA) integrada del sistema de certificados (CS), podrá crear sub-CA ligeras. Todas las sub-CAs que cree están subordinadas a la CA principal del sistema de certificados, la CA ipa.

Un lightweight sub-CA en este contexto significa a sub-CA issuing certificates for a specific purpose. Por ejemplo, una CA secundaria ligera permite configurar un servicio, como una pasarela de red privada virtual (VPN) y un navegador web, para que sólo acepte certificados emitidos por sub-CA A. Al configurar otros servicios para que sólo acepten certificados emitidos por sub-CA B, se impide que acepten certificados emitidos por sub-CA A, la CA principal, es decir, la CA ipa, y cualquier sub-CA intermedia entre ambas.

Si se revoca el certificado intermedio de una sub-CA, todos los certificados emitidos por esta sub-CA se consideran automáticamente inválidos por los clientes correctamente configurados. Todos los demás certificados emitidos directamente por la CA raíz, ipa, u otra sub-CA, siguen siendo válidos.

Esta sección utiliza el ejemplo del servidor web Apache para ilustrar cómo restringir una aplicación para que confíe sólo en un subconjunto de certificados. Complete esta sección para restringir el servidor web que se ejecuta en su cliente de IdM para que utilice un certificado emitido por la sub-CA de IdM de webserver-ca, y para exigir a los usuarios que se autentiquen en el servidor web utilizando certificados de usuario emitidos por la sub-CA de IdM de webclient-ca.

Los pasos que debes dar son:

  1. Crear una sub-CA de IdM
  2. Descargue el certificado sub-CA desde IdM WebUI
  3. Cree una ACL de CA especificando la combinación correcta de usuarios, servicios y CAs, y el perfil de certificado utilizado
  4. Solicitar un certificado para el servicio web que se ejecuta en un cliente IdM desde la sub-CA IdM
  5. Configurar un servidor HTTP Apache de una sola instancia
  6. Añadir el cifrado TLS al servidor HTTP Apache
  7. Establecer las versiones de protocolo TLS soportadas en un servidor HTTP Apache
  8. Establezca los cifrados admitidos en el servidor HTTP Apache
  9. Configurar la autenticación del certificado de cliente TLS en el servidor web
  10. Solicitar un certificado para el usuario a la sub-CA de IdM y exportarlo al cliente
  11. Importe el certificado de usuario en el navegador y configure el navegador para que confíe en el certificado sub-CA

50.1. Creación de una sub-CA ligera

Para más detalles sobre la creación de una sub-CA, véase:

50.1.1. Creación de una sub-CA desde IdM WebUI

Este procedimiento describe cómo utilizar IdM WebUI para crear nuevas sub-CAs denominadas webserver-ca y webclient-ca.

Requisitos previos

  • Asegúrese de haber obtenido las credenciales del administrador.

Procedimiento

  1. En el menú Authentication, haga clic en Certificates.
  2. Seleccione Certificate Authorities y haga clic en Add.
  3. Introduzca el nombre de la sub-CA webserver-ca. Introduzca el DN del sujeto, por ejemplo CN=WEBSERVER,O=IDM.EXAMPLE.COM, en el campo DN del sujeto. Tenga en cuenta que el DN del sujeto debe ser único en la infraestructura de la CA de IdM.
  4. Introduzca el nombre de la sub-CA webclient-ca. Introduzca el DN del sujeto CN=WEBCLIENT,O=IDM.EXAMPLE.COM en el campo DN del sujeto.

  5. En la interfaz de línea de comandos, ejecute el comando ipa-certupdate para crear una solicitud de seguimiento de certmonger para los certificados de las sub-CAs webserver-ca y webclient-ca: 

    [root@ipaserver ~]# ipa-certupdate
    Importante

    Si se olvida de ejecutar el comando ipa-certupdate después de crear una sub-CA, si el certificado de la sub-CA caduca, los certificados de entidad final emitidos por la sub-CA se consideran inválidos aunque el certificado de entidad final no haya caducado.

  6. Opcionalmente, para verificar que el certificado de firma de la nueva sub-CA se ha añadido a la base de datos de IdM, introduzca: 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Nota

    El nuevo certificado sub-CA se transfiere automáticamente a todas las réplicas que tengan instalada una instancia del sistema de certificados.

50.1.2. Creación de una sub-CA desde la CLI de IdM

Este procedimiento describe cómo utilizar la CLI de IdM para crear nuevas sub-CAs denominadas webserver-ca y webclient-ca.

Requisitos previos

  • Asegúrese de haber obtenido las credenciales del administrador.
  • Asegúrese de que ha iniciado sesión en un servidor IdM que es un servidor CA.

Procedimiento

  1. Introduzca el comando ipa ca-add, y especifique el nombre de la sub-CA webserver-ca y su Nombre Distinguido del Sujeto (DN): 

    [root@ipaserver ~]# ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webserver-ca"
-------------------
  Name: webserver-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Nombre
    Nombre de la AC.
    Identificación de la autoridad
    Creada automáticamente, la identificación individual de la AC.
    Asunto DN
    Nombre distinguido del sujeto (DN). El DN del sujeto debe ser único en la infraestructura de la CA de IdM.
    DN del emisor
    CA principal que emitió el certificado de la sub-CA. Todas las sub-CAs se crean como hijas de la CA raíz de IdM.

  2. Cree la sub-CA webclient-ca para emitir certificados a los clientes web: 

    [root@ipaserver ~]# ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webclient-ca"
-------------------
  Name: webclient-ca
  Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM

  3. En la interfaz de línea de comandos, ejecute el comando ipa-certupdate para crear una solicitud de seguimiento de certmonger para los certificados de las sub-CAs webserver-ca y webclient-ca: 

    [root@ipaserver ~]# ipa-certupdate
    Importante

    Si se olvida de ejecutar el comando ipa-certupdate después de crear una sub-CA, si el certificado de la sub-CA caduca, los certificados de entidad final emitidos por la sub-CA se consideran inválidos aunque el certificado de entidad final no haya caducado.

  4. Opcionalmente, para verificar que el certificado de firma de la nueva sub-CA se ha añadido a la base de datos de IdM, introduzca: 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Nota

    El nuevo certificado sub-CA se transfiere automáticamente a todas las réplicas que tengan instalada una instancia del sistema de certificados.