Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 50. Restringindo um pedido de confiança apenas a um subconjunto de certificados

Se sua instalação de Gerenciamento de Identidade (IdM) estiver configurada com a autoridade de certificação (CA) do Sistema de Certificado (CS) integrado, você será capaz de criar sub-CAs leves. Todas as sub-CAs que você criar estão subordinadas à CA primária do sistema de certificado, a CA ipa.

Um lightweight sub-CA neste contexto significa a sub-CA issuing certificates for a specific purpose. Por exemplo, um sub-CA leve permite que você configure um serviço, como um gateway de rede privada virtual (VPN) e um navegador web, para aceitar apenas certificados emitidos por sub-CA A. Ao configurar outros serviços para aceitar certificados emitidos apenas por sub-CA B, você impede que eles aceitem certificados emitidos por sub-CA A, a CA primária, ou seja, a ipa CA, e qualquer sub-CA intermediária entre os dois.

Se você revogar o certificado intermediário de uma sub-CA, todos os certificados emitidos por esta sub-CA são automaticamente considerados inválidos pelos clientes corretamente configurados. Todos os outros certificados emitidos diretamente pela CA raiz, ipa, ou por outra sub-CA, permanecem válidos.

Esta seção usa o exemplo do servidor web Apache para ilustrar como restringir uma aplicação para confiar apenas em um subconjunto de certificados. Complete esta seção para restringir o servidor web executado em seu cliente IdM para usar um certificado emitido pela sub-CA webserver-ca IdM, e para exigir que os usuários se autentiquem ao servidor web usando certificados de usuário emitidos pela sub-CA webclient-ca IdM.

As medidas que você precisa tomar são:

  1. Criar um sub-CA IdM
  2. Baixe o certificado de sub-CA da IdM WebUI
  3. Criar uma ACL CA especificando a combinação correta de usuários, serviços e ACs, e o perfil de certificado utilizado
  4. Solicitar um certificado para o serviço web executado em um cliente IdM da sub-CA da IdM
  5. Configurar um Servidor HTTP Apache de uma única instância
  6. Adicionar a criptografia TLS ao Servidor HTTP Apache
  7. Definir as versões do protocolo TLS suportadas em um Servidor HTTP Apache
  8. Configure as cifras suportadas no Servidor HTTP Apache
  9. Configurar a autenticação do certificado do cliente TLS no servidor web
  10. Solicitar um certificado para o usuário da sub-CA da IdM e exportá-lo para o cliente
  11. Importar o certificado de usuário para o navegador e configurar o navegador para confiar no certificado de sub-CA

50.1. Criação de um sub-CA leve

Para detalhes sobre a criação de um sub-CA, veja:

50.1.1. Criando um sub-CA da IdM WebUI

Este procedimento descreve como usar IdM WebUI para criar novas sub-CAs com o nome webserver-ca e webclient-ca.

Pré-requisitos

  • Certifique-se de ter obtido as credenciais do administrador.

Procedimento

  1. No menu Authentication, clique em Certificates.
  2. Selecione Certificate Authorities e clique em Add.
  3. Digite o nome da sub-CA webserver-ca. Digite o Subject DN, por exemplo CN=WEBSERVER,O=IDM.EXAMPLE.COM, no campo Subject DN. Observe que o Subject DN deve ser único na infra-estrutura da IdM CA.
  4. Digite o nome da sub-CA webclient-ca. Digite o Subject DN CN=WEBCLIENT,O=IDM.EXAMPLE.COM no campo Subject DN.

  5. Na interface da linha de comando, execute o comando ipa-certupdate para criar um pedido de rastreamento certmonger para os certificados das sub-CAs webserver-ca e webclient-ca: 

    [root@ipaserver ~]# ipa-certupdate
    Importante

    Esquecer de executar o comando ipa-certupdate após criar uma sub-CA significa que se o certificado de sub-CA expirar, os certificados de entidade final emitidos pela sub-CA são considerados inválidos mesmo que o certificado de entidade final não tenha expirado.

  6. Opcionalmente, para verificar se o certificado de assinatura do novo sub-CA foi adicionado ao banco de dados do IdM, entre: 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Nota

    O novo certificado de sub-CA é transferido automaticamente para todas as réplicas que têm uma instância de sistema de certificado instalada.

50.1.2. Criação de um sub-CA da IdM CLI

Este procedimento descreve como usar o IdM CLI para criar novas sub-CAs com o nome webserver-ca e webclient-ca.

Pré-requisitos

  • Certifique-se de que você obteve as credenciais do administrador.
  • Certifique-se de estar logado em um servidor IdM que seja um servidor CA.

Procedimento

  1. Digite o comando ipa ca-add e especifique o nome da sub-CA webserver-ca e seu Nome Distinto do Assunto (DN): 

    [root@ipaserver ~]# ipa ca-add webserver-ca --subject="CN=WEBSERVER,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webserver-ca"
-------------------
  Name: webserver-ca
  Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc
  Subject DN: CN=WEBSERVER,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
    Nome
    Nome do CA.
    Identificação da autoridade
    Criado automaticamente, identificação individual para a CA.
    Assunto DN
    Nome do Assunto Distinguido (DN). O DN do Assunto deve ser único na infra-estrutura da IdM CA.
    Emissor DN
    A matriz CA que emitiu o certificado de sub-CA. Todas as sub-CAs são criadas como uma criança da raiz do IdM CA.

  2. Criar o sub-CA webclient-ca para emissão de certificados para clientes web: 

    [root@ipaserver ~]# ipa ca-add webclient-ca --subject="CN=WEBCLIENT,O=IDM.EXAMPLE.COM"
-------------------
Created CA "webclient-ca"
-------------------
  Name: webclient-ca
  Authority ID: 8a479f3a-0454-4a4d-8ade-fd3b5a54ab2e
  Subject DN: CN=WEBCLIENT,O=IDM.EXAMPLE.COM
  Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM

  3. Na interface da linha de comando, execute o comando ipa-certupdate para criar um pedido de rastreamento certmonger para os certificados das sub-CAs webserver-ca e webclient-ca: 

    [root@ipaserver ~]# ipa-certupdate
    Importante

    Esquecer de executar o comando ipa-certupdate após criar uma sub-CA significa que se o certificado de sub-CA expirar, os certificados de entidade final emitidos pela sub-CA são considerados inválidos mesmo que o certificado de entidade final não tenha expirado.

  4. Opcionalmente, para verificar se o certificado de assinatura do novo sub-CA foi adicionado ao banco de dados do IdM, entre: 

    [root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L

Certificate Nickname                      Trust Attributes
                                          SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca                 CTu,Cu,Cu
Server-Cert cert-pki-ca                   u,u,u
auditSigningCert cert-pki-ca              u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca               u,u,u
subsystemCert cert-pki-ca                 u,u,u
    Nota

    O novo certificado de sub-CA é transferido automaticamente para todas as réplicas que têm uma instância de sistema de certificado instalada.