Chapitre 20. Restreindre une application à ne faire confiance qu'à un sous-ensemble de certificats

Si votre installation de gestion des identités (IdM) est configurée avec l'autorité de certification (AC) intégrée Certificate System (CS), vous pouvez créer des sous-AAC légères. Toutes les sous-AAC que vous créez sont subordonnées à l'AC principale du système de certificats, l'AC ipa.

Dans ce contexte, lightweight sub-CA signifie a sub-CA issuing certificates for a specific purpose. Par exemple, une AC secondaire légère vous permet de configurer un service, tel qu'une passerelle de réseau privé virtuel (VPN) et un navigateur web, de manière à ce qu'il n'accepte que les certificats délivrés par sub-CA A. En configurant d'autres services pour qu'ils n'acceptent que les certificats émis par sub-CA B, vous les empêchez d'accepter les certificats émis par sub-CA A, l'autorité de certification primaire, c'est-à-dire l'autorité de certification ipa, et toute sous-AC intermédiaire entre les deux.

Si vous révoquez le certificat intermédiaire d'une sous-AC, tous les certificats émis par cette sous-AC sont automatiquement considérés comme invalides par les clients correctement configurés. Tous les autres certificats émis directement par l'autorité de certification racine, ipa, ou par une autre autorité de certification secondaire, restent valides.

Cette section utilise l'exemple du serveur web Apache pour illustrer comment limiter une application à un sous-ensemble de certificats. Complétez cette section pour restreindre le serveur web fonctionnant sur votre client IdM à l'utilisation d'un certificat émis par la sous-CA webserver-ca IdM, et pour exiger des utilisateurs qu'ils s'authentifient sur le serveur web à l'aide de certificats d'utilisateur émis par la sous-CA webclient-ca IdM.

Les étapes à suivre sont les suivantes :

20.1. Gestion des sous-CA légers

Cette section décrit comment gérer les autorités de certification subordonnées légères (sub-CA). Toutes les autorités de certification subordonnées que vous créez sont subordonnées à l'autorité de certification principale du système de certification, l'autorité de certification ipa. Vous pouvez également désactiver et supprimer des autorités de certification subordonnées.

Note
  • Si vous supprimez un sous-CA, le contrôle de révocation pour ce sous-CA ne fonctionnera plus. Ne supprimez un sous-CA que lorsqu'il n'y a plus de certificats émis par ce sous-CA et dont l'heure d'expiration notAfter se situe dans le futur.
  • Vous ne devez désactiver les sous-CA que s'il reste des certificats non expirés émis par ce sous-CA. Si tous les certificats émis par un sous-CA ont expiré, vous pouvez supprimer ce sous-CA.
  • Vous ne pouvez pas désactiver ou supprimer l'autorité de certification IdM.

Pour plus de détails sur la gestion des sous-CA, voir :

20.1.1. Création d'un sous-CA à partir de l'interface Web IdM

Cette procédure décrit comment utiliser l'interface Web IdM pour créer de nouveaux sous-CA nommés webserver-ca et webclient-ca.

Conditions préalables

  • Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur.

Procédure

  1. Dans le menu Authentication, cliquez sur Certificates.
  2. Sélectionnez Certificate Authorities et cliquez sur Add.
  3. Saisissez le nom de la sous-CA webserver-ca. Entrez le DN du sujet, par exemple CN=WEBSERVER,O=IDM.EXAMPLE.COM, dans le champ DN du sujet. Notez que le Subject DN doit être unique dans l'infrastructure de l'AC IdM.
  4. Saisissez le nom du sous-CA webclient-ca. Saisissez le Subject DN CN=WEBCLIENT,O=IDM.EXAMPLE.COM dans le champ Subject DN.
  5. Dans l'interface de ligne de commande, exécutez la commande ipa-certupdate pour créer une demande de suivi certmonger pour les certificats des sous-CA webserver-ca et webclient-ca:

    [root@ipaserver ~]# ipa-certupdate
    Important

    Si vous oubliez d'exécuter la commande ipa-certupdate après avoir créé un sous-CA, si le certificat du sous-CA expire, les certificats d'entité finale émis par le sous-CA sont considérés comme invalides, même si le certificat de l'entité finale n'a pas expiré.

Vérification

  • Vérifier que le certificat de signature du nouveau sous-CA a été ajouté à la base de données IdM :

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
    
    Certificate Nickname                      Trust Attributes
                                              SSL,S/MIME,JAR/XPI
    
    caSigningCert cert-pki-ca                 CTu,Cu,Cu
    Server-Cert cert-pki-ca                   u,u,u
    auditSigningCert cert-pki-ca              u,u,Pu
    caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
    ocspSigningCert cert-pki-ca               u,u,u
    subsystemCert cert-pki-ca                 u,u,u
    Note

    Le nouveau certificat de sous-CA est automatiquement transféré à toutes les répliques sur lesquelles une instance de système de certificats est installée.

20.1.2. Suppression d'un sous-CA à partir de l'interface Web IdM

Cette procédure décrit comment supprimer des sous-CA légers dans l'interface Web IdM.

Note
  • Si vous supprimez un sous-CA, le contrôle de révocation pour ce sous-CA ne fonctionnera plus. Ne supprimez un sous-CA que lorsqu'il n'y a plus de certificats émis par ce sous-CA et dont l'heure d'expiration notAfter se situe dans le futur.
  • Vous ne devez désactiver les sous-CA que s'il reste des certificats non expirés émis par ce sous-CA. Si tous les certificats émis par un sous-CA ont expiré, vous pouvez supprimer ce sous-CA.
  • Vous ne pouvez pas désactiver ou supprimer l'autorité de certification IdM.

Conditions préalables

Procédure

  1. Dans l'IdM WebUI, ouvrez l'onglet Authentication et sélectionnez le sous-onglet Certificates.
  2. Sélectionnez Certificate Authorities.
  3. Sélectionnez le sous-CA à supprimer et cliquez sur Delete.

    Figure 20.1. Suppression d'un sous-CA dans l'interface Web IdM

    Screenshot of the "Certificate Authorities" screen where you can add and delete certificate authorities and subordinate certificate authorities.
  4. Cliquez sur Delete pour confirmer.

Le sous-CA est retiré de la liste des Certificate Authorities.

20.1.3. Création d'un sous-CA à partir de la CLI IdM

Cette procédure décrit comment utiliser le CLI IdM pour créer de nouveaux sous-CA nommés webserver-ca et webclient-ca.

Conditions préalables

  • Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur.
  • Assurez-vous que vous êtes connecté à un serveur IdM qui est un serveur CA.

Procédure

  1. Entrez la commande ipa ca-add et indiquez le nom du sous-CA webserver-ca et son Subject Distinguished Name (DN) :

    [root@ipaserver ~]# ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
    -------------------
    Created CA "webserver-ca"
    -------------------
      Name: webserver-ca
      Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
      Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Nom
    Nom de l'AC.
    ID de l'autorité
    ID individuel créé automatiquement pour l'AC.
    Sujet DN
    Nom distinctif du sujet (DN). Le DN du sujet doit être unique dans l'infrastructure de l'AC IdM.
    DN de l'émetteur
    L'autorité de certification mère qui a délivré le certificat de l'autorité de certification secondaire. Toutes les sous-AAC sont créées en tant qu'enfants de l'AC racine IdM.
  2. Créez le sous-CA webclient-ca pour délivrer des certificats aux clients web :

    [root@ipaserver ~]# ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
    -------------------
    Created CA "webclient-ca"
    -------------------
      Name: webclient-ca
      Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e
      Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
  3. Exécutez la commande ipa-certupdate pour créer une demande de suivi certmonger pour les certificats des sous-CA webserver-ca et webclient-ca:

    [root@ipaserver ~]# ipa-certupdate
    Important

    Si vous oubliez d'exécuter la commande ipa-certupdate après avoir créé un sous-CA et que le certificat du sous-CA expire, les certificats d'entité finale émis par ce sous-CA sont considérés comme non valides, même si le certificat d'entité finale n'a pas expiré.

Verification steps

  • Vérifier que le certificat de signature du nouveau sous-CA a été ajouté à la base de données IdM :

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
    
    Certificate Nickname                      Trust Attributes
                                              SSL,S/MIME,JAR/XPI
    
    caSigningCert cert-pki-ca                 CTu,Cu,Cu
    Server-Cert cert-pki-ca                   u,u,u
    auditSigningCert cert-pki-ca              u,u,Pu
    caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
    ocspSigningCert cert-pki-ca               u,u,u
    subsystemCert cert-pki-ca                 u,u,u
    Note

    Le nouveau certificat de sous-CA est automatiquement transféré à toutes les répliques sur lesquelles une instance de système de certificats est installée.

20.1.4. Désactivation d'un sous-CA à partir de la CLI IdM

Cette procédure décrit comment désactiver un sous-CA à partir de la CLI IdM. S'il existe encore des certificats non expirés qui ont été émis par un sous-CA, vous ne devez pas le supprimer mais vous pouvez le désactiver. Si vous supprimez le sous-CA, le contrôle de révocation pour ce sous-CA ne fonctionnera plus.

Conditions préalables

  • Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur.

Procédure

  1. Exécutez la commande ipa ca-find pour déterminer le nom du sous-CA que vous supprimez :

    [root@ipaserver ~]# ipa ca-find
    -------------
    3 CAs matched
    -------------
      Name: ipa
      Description: IPA CA
      Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
      Subject DN: CN=Certificate Authority,O=IPA.TEST
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    
      Name: webclient-ca
      Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
      Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    
     Name: webserver-ca
      Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
      Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    ----------------------------
    Number of entries returned 3
    ----------------------------
  2. Exécutez la commande ipa ca-disable pour désactiver votre sous-CA, dans cet exemple, le webserver-ca:

    ipa ca-disable webserver-ca
    --------------------------
    Disabled CA "webserver-ca"
    --------------------------

20.1.5. Suppression d'un sous-CA à partir de la CLI IdM

Cette procédure décrit comment supprimer des sous-CA légers à partir de la CLI IdM.

Note
  • Si vous supprimez un sous-CA, le contrôle de révocation pour ce sous-CA ne fonctionnera plus. Ne supprimez un sous-CA que lorsqu'il n'y a plus de certificats émis par ce sous-CA et dont l'heure d'expiration notAfter se situe dans le futur.
  • Vous ne devez désactiver les sous-CA que s'il reste des certificats non expirés émis par ce sous-CA. Si tous les certificats émis par un sous-CA ont expiré, vous pouvez supprimer ce sous-CA.
  • Vous ne pouvez pas désactiver ou supprimer l'autorité de certification IdM.

Conditions préalables

  • Assurez-vous d'avoir obtenu les informations d'identification de l'administrateur.

Procédure

  1. Pour afficher la liste des sous-CA et des CA, exécutez la commande ipa ca-find:

    # ipa ca-find
    -------------
    3 CAs matched
    -------------
      Name: ipa
      Description: IPA CA
      Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
      Subject DN: CN=Certificate Authority,O=IPA.TEST
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    
      Name: webclient-ca
      Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
      Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    
     Name: webserver-ca
      Authority ID: 02d537f9-c178-4433-98ea-53aa92126fc3
      Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    ----------------------------
    Number of entries returned 3
    ----------------------------
  2. Exécutez la commande ipa ca-disable pour désactiver votre sous-CA, dans cet exemple, le webserver-ca:

    # ipa ca-disable webserver-ca
    --------------------------
    Disabled CA "webserver-ca"
    --------------------------
  3. Supprimer le sous-CA, dans cet exemple, le webserver-ca:

    # ipa ca-del webserver-ca
    -------------------------
    Deleted CA "webserver-ca"
    -------------------------

Vérification

  • Exécutez ipa ca-find pour afficher la liste des CA et des sous-CA. Le site webserver-ca ne figure plus dans la liste.

    # ipa ca-find
    -------------
    2 CAs matched
    -------------
      Name: ipa
      Description: IPA CA
      Authority ID: 5195deaf-3b61-4aab-b608-317aff38497c
      Subject DN: CN=Certificate Authority,O=IPA.TEST
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    
      Name: webclient-ca
      Authority ID: 605a472c-9c6e-425e-b959-f1955209b092
      Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
      Issuer DN: CN=Certificate Authority,O=IPA.TEST
    ----------------------------
    Number of entries returned 2
    ----------------------------