Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 50. Restringir una aplicación para que confíe sólo en un subconjunto de certificados
Si su instalación de gestión de identidades (IdM) está configurada con la autoridad de certificación (CA) integrada del sistema de certificados (CS), podrá crear sub-CA ligeras. Todas las sub-CAs que cree están subordinadas a la CA principal del sistema de certificados, la CA ipa.
Un lightweight sub-CA en este contexto significa a sub-CA issuing certificates for a specific purpose. Por ejemplo, una CA secundaria ligera permite configurar un servicio, como una pasarela de red privada virtual (VPN) y un navegador web, para que sólo acepte certificados emitidos por sub-CA A. Al configurar otros servicios para que sólo acepten certificados emitidos por sub-CA B, se impide que acepten certificados emitidos por sub-CA A, la CA principal, es decir, la CA ipa
, y cualquier sub-CA intermedia entre ambas.
Si se revoca el certificado intermedio de una sub-CA, todos los certificados emitidos por esta sub-CA se consideran automáticamente inválidos por los clientes correctamente configurados. Todos los demás certificados emitidos directamente por la CA raíz, ipa, u otra sub-CA, siguen siendo válidos.
Esta sección utiliza el ejemplo del servidor web Apache para ilustrar cómo restringir una aplicación para que confíe sólo en un subconjunto de certificados. Complete esta sección para restringir el servidor web que se ejecuta en su cliente de IdM para que utilice un certificado emitido por la sub-CA de IdM de webserver-ca, y para exigir a los usuarios que se autentiquen en el servidor web utilizando certificados de usuario emitidos por la sub-CA de IdM de webclient-ca.
Los pasos que debes dar son:
- Crear una sub-CA de IdM
- Descargue el certificado sub-CA desde IdM WebUI
- Cree una ACL de CA especificando la combinación correcta de usuarios, servicios y CAs, y el perfil de certificado utilizado
- Solicitar un certificado para el servicio web que se ejecuta en un cliente IdM desde la sub-CA IdM
- Configurar un servidor HTTP Apache de una sola instancia
- Añadir el cifrado TLS al servidor HTTP Apache
- Establecer las versiones de protocolo TLS soportadas en un servidor HTTP Apache
- Establezca los cifrados admitidos en el servidor HTTP Apache
- Configurar la autenticación del certificado de cliente TLS en el servidor web
- Solicitar un certificado para el usuario a la sub-CA de IdM y exportarlo al cliente
- Importe el certificado de usuario en el navegador y configure el navegador para que confíe en el certificado sub-CA
50.1. Creación de una sub-CA ligera
Para más detalles sobre la creación de una sub-CA, véase:
50.1.1. Creación de una sub-CA desde IdM WebUI
Este procedimiento describe cómo utilizar IdM WebUI para crear nuevas sub-CAs denominadas webserver-ca y webclient-ca.
Requisitos previos
- Asegúrese de haber obtenido las credenciales del administrador.
Procedimiento
- En el menú Authentication, haga clic en Certificates.
- Seleccione Certificate Authorities y haga clic en Add.
- Introduzca el nombre de la sub-CA webserver-ca. Introduzca el DN del sujeto, por ejemplo CN=WEBSERVER,O=IDM.EXAMPLE.COM, en el campo DN del sujeto. Tenga en cuenta que el DN del sujeto debe ser único en la infraestructura de la CA de IdM.
- Introduzca el nombre de la sub-CA webclient-ca. Introduzca el DN del sujeto CN=WEBCLIENT,O=IDM.EXAMPLE.COM en el campo DN del sujeto.
En la interfaz de línea de comandos, ejecute el comando
ipa-certupdate
para crear una solicitud de seguimiento de certmonger para los certificados de las sub-CAs webserver-ca y webclient-ca:[root@ipaserver ~]#
ipa-certupdate
ImportanteSi se olvida de ejecutar el comando
ipa-certupdate
después de crear una sub-CA, si el certificado de la sub-CA caduca, los certificados de entidad final emitidos por la sub-CA se consideran inválidos aunque el certificado de entidad final no haya caducado.Opcionalmente, para verificar que el certificado de firma de la nueva sub-CA se ha añadido a la base de datos de IdM, introduzca:
[root@ipaserver ~]#
certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI caSigningCert cert-pki-ca CTu,Cu,Cu Server-Cert cert-pki-ca u,u,u auditSigningCert cert-pki-ca u,u,Pu caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,uNotaEl nuevo certificado sub-CA se transfiere automáticamente a todas las réplicas que tengan instalada una instancia del sistema de certificados.
50.1.2. Creación de una sub-CA desde la CLI de IdM
Este procedimiento describe cómo utilizar la CLI de IdM para crear nuevas sub-CAs denominadas webserver-ca y webclient-ca.
Requisitos previos
- Asegúrese de haber obtenido las credenciales del administrador.
- Asegúrese de que ha iniciado sesión en un servidor IdM que es un servidor CA.
Procedimiento
Introduzca el comando
ipa ca-add
, y especifique el nombre de la sub-CA webserver-ca y su Nombre Distinguido del Sujeto (DN):[root@ipaserver ~]#
ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
------------------- Created CA "webserver-ca" ------------------- Name: webserver-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM- Nombre
- Nombre de la AC.
- Identificación de la autoridad
- Creada automáticamente, la identificación individual de la AC.
- Asunto DN
- Nombre distinguido del sujeto (DN). El DN del sujeto debe ser único en la infraestructura de la CA de IdM.
- DN del emisor
- CA principal que emitió el certificado de la sub-CA. Todas las sub-CAs se crean como hijas de la CA raíz de IdM.
Cree la sub-CA webclient-ca para emitir certificados a los clientes web:
[root@ipaserver ~]#
ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
------------------- Created CA "webclient-ca" ------------------- Name: webclient-ca Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COMEn la interfaz de línea de comandos, ejecute el comando ipa-certupdate para crear una solicitud de seguimiento de certmonger para los certificados de las sub-CAs webserver-ca y webclient-ca:
[root@ipaserver ~]#
ipa-certupdate
ImportanteSi se olvida de ejecutar el comando ipa-certupdate después de crear una sub-CA, si el certificado de la sub-CA caduca, los certificados de entidad final emitidos por la sub-CA se consideran inválidos aunque el certificado de entidad final no haya caducado.
Opcionalmente, para verificar que el certificado de firma de la nueva sub-CA se ha añadido a la base de datos de IdM, introduzca:
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI caSigningCert cert-pki-ca CTu,Cu,Cu Server-Cert cert-pki-ca u,u,u auditSigningCert cert-pki-ca u,u,Pu caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u ocspSigningCert cert-pki-ca u,u,u subsystemCert cert-pki-ca u,u,u
NotaEl nuevo certificado sub-CA se transfiere automáticamente a todas las réplicas que tengan instalada una instancia del sistema de certificados.