View a markdown version of this page

Diseñe una jerarquía de CA - AWS Private Certificate Authority

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Diseñe una jerarquía de CA

Con Autoridad de certificación privada de AWSél, puede crear una jerarquía de autoridades de certificación de hasta cinco niveles. La entidad de certificación raíz, en la parte superior de un árbol de jerarquía, puede tener cualquier número de ramas. La entidad de certificación raíz puede tener hasta cuatro niveles de entidades de certificación subordinadas en cada rama. También puede crear varias jerarquías, cada una con su propia raíz.

Una jerarquía de entidades de certificación bien diseñada ofrece los siguientes beneficios:

  • Controles de seguridad detallados adecuados para cada entidad de certificación

  • División de tareas administrativas para mejorar el equilibrio de carga y la seguridad

  • Uso de entidades de certificación con confianza limitada y revocable para operaciones diarias

  • Períodos de validez y límites de ruta de certificado

El siguiente diagrama ilustra una jerarquía de entidad de certificación simple de tres niveles.

Diagrama de una jerarquía de entidad de certificación simple de tres niveles.

Cada CA del árbol está respaldada por un certificado X.509 v3 con autoridad de firma (simbolizado por el icono de lápiz y papel). Esto significa que, como entidades de certificación, pueden firmar otros certificados subordinados a ellas. Cuando una entidad de certificación firma un certificado de entidad de certificación de nivel inferior, confiere una autoridad limitada y revocable al certificado firmado. La entidad de certificación raíz del nivel 1 firma certificados de entidad de certificación subordinados de alto nivel en el nivel 2. Estas entidades de certificación, a su vez, firman certificados para las entidades de certificación del nivel 3 que utilizan los administradores de la PKI (infraestructura de clave pública) que administran certificados de entidad final.

La seguridad en una jerarquía de entidades de certificación debe configurarse para que sea más fuerte en la parte superior del árbol. Esta disposición protege el certificado de entidad de certificación raíz y su clave privada. La entidad de certificación raíz ancla la confianza para todas las entidades de certificación subordinadas y los certificados de entidad final debajo de ella. Aunque se pueden producir daños localizados al poner en riesgo un certificado de entidad final, la puesta en riesgo de la raíz destruye la confianza en toda la PKI. Las entidades de certificación subordinadas de nivel raíz y superior se utilizan con poca frecuencia (normalmente para firmar otros certificados de entidad de certificación). Por consiguiente, se controlan y auditan rigurosamente para garantizar un menor riesgo de peligro. En los niveles inferiores de la jerarquía, la seguridad es menos restrictiva. Este enfoque permite las tareas administrativas rutinarias de emitir y revocar certificados de entidad final para usuarios, alojamientos de equipos y servicios de software.

nota

El uso de una entidad de certificación raíz para firmar un certificado subordinado es un evento poco habitual que se produce en solo algunas circunstancias:

  • Cuando se crea la PKI

  • Cuando se debe reemplazar una entidad de certificación de alto nivel

  • Cuando se debe configurar un respondedor de lista de revocación de certificados (CRL) o del protocolo de estado de certificados en línea (OCSP)

Las entidades de certificación raíz y otras entidades de certificación de alto nivel requieren procesos operativos altamente seguros y protocolos de control de acceso.

Valide los certificados de la entidad final

End-entity La confianza de los certificados se basa en una ruta de certificación que conduce, a través de las CA subordinadas, a una CA raíz. Cuando un navegador web u otro cliente se presenta con un certificado de entidad final, intenta crear una cadena de confianza. Por ejemplo, podría comprobar que el nombre distintivo del emisor del certificado y el nombre distintivo del sujeto coinciden con los campos correspondientes del certificado de entidad de certificación emisor. La coincidencia continuaría en cada nivel sucesivo de la jerarquía hasta que el cliente alcance una raíz de confianza contenida en su almacén de confianza.

El almacén de confianza es una biblioteca de entidades de certificación de confianza que contiene el navegador o el sistema operativo. Para una PKI privada, la TI de su organización debe asegurarse de que cada navegador o sistema haya agregado previamente la entidad de certificación raíz privada a su almacén de confianza. De lo contrario, la ruta de certificación no se puede validar, lo que da lugar a errores de cliente.

El siguiente diagrama muestra la ruta de validación que sigue un navegador cuando se le presenta un certificado de entidad final X.509 . Tenga en cuenta que el certificado de entidad final carece de autoridad de firma y sólo sirve para autenticar a la entidad que lo posee.

Comprobación de validación por un navegador web.

El explorador inspecciona el certificado de entidad final. El explorador encuentra que el certificado ofrece una firma de entidad de certificación subordinada (nivel 3) como credencial de confianza. Los certificados de las entidades de certificación subordinadas deben incluirse en el mismo archivo PEM. Alternativamente, también pueden estar en un archivo independiente que contenga los certificados que componen la cadena de confianza. Al encontrarlos, el navegador comprueba el certificado de entidad de certificación subordinada (nivel 3) y encuentra que ofrece una firma de entidad de certificación subordinada (nivel 2). A su vez, la entidad de certificación subordinada (nivel 2) ofrece una firma de la entidad de certificación raíz (nivel 1) como credencial de confianza. Si el explorador encuentra una copia del certificado de entidad de certificación raíz privada preinstalado en su almacén de confianza, valida el certificado de entidad final como de confianza.

Normalmente, el explorador también comprueba cada certificado con una lista de revocación de certificados (CRL). Se rechaza un certificado caducado, revocado o mal configurado y se produce un error en la validación.

Planifique la estructura de una jerarquía de CA

En general, la jerarquía de entidad de certificación debe reflejar la estructura de la organización. Apunte a una longitud de la ruta (es decir, número de niveles de entidades de certificación) no mayor de lo necesario para delegar roles administrativos y de seguridad. Agregar una entidad de certificación a la jerarquía significa aumentar el número de certificados en la ruta de certificación, lo que aumenta el tiempo de validación. Mantener la longitud de la ruta al mínimo también reduce la cantidad de certificados que se envían desde el servidor al cliente al validar un certificado de entidad final.

En teoría, una CA raíz, que no tiene ningún LenConstraint parámetro de ruta, puede autorizar niveles ilimitados de CA subordinadas. Una CA subordinada puede tener tantas CA subordinadas secundarias como permita su configuración interna. Autoridad de certificación privada de AWS Las jerarquías administradas admiten rutas de certificación de CA con una profundidad de hasta cinco niveles.

Las estructuras de entidad de certificación bien diseñadas tienen varios beneficios:

  • Controles administrativos independientes para distintas dependencias orgánicas

  • La capacidad de delegar el acceso a las entidades de certificación subordinadas

  • Una estructura jerárquica que protege las entidades de certificación de nivel superior con controles de seguridad adicionales

Dos estructuras de entidades de certificación comunes logran todo esto:

  • Dos niveles de entidades de certificación: entidad de certificación raíz y entidad de certificación subordinada

    Esta es la estructura de entidad de certificación más simple que permite políticas de administración, control y seguridad separadas para la entidad de certificación raíz y una entidad de certificación subordinada. Puede mantener controles y políticas restrictivos para la entidad de certificación raíz mientras permite un acceso más permisivo para la entidad de certificación subordinada. Este último se utiliza para la emisión masiva de certificados de entidad final.

  • Tres niveles de entidades de certificación: entidad de certificación raíz y dos capas de entidad de certificación subordinada

    De forma similar a la anterior, esta estructura agrega una capa de entidad de certificación adicional para separar aún más la entidad de certificación raíz de las operaciones de entidades de certificación de bajo nivel. La capa de entidad de certificación media sólo se utiliza para firmar entidades de certificación subordinadas que llevan a cabo la emisión de certificados de entidad final.

Las estructuras de entidades de certificación menos comunes incluyen las siguientes:

  • Cuatro o más niveles de CA

    Aunque menos comunes que las jerarquías de tres niveles, las jerarquías de entidad de certificación con cuatro o más niveles son posibles y pueden ser necesarias para permitir la delegación administrativa.

  • Un nivel de entidad de certificación: solo entidad de certificación raíz

    Esta estructura se utiliza habitualmente para el desarrollo y las pruebas cuando no se requiere una cadena de confianza completa. Su uso en producción es atípico. Además, infringe la práctica recomendada de mantener políticas de seguridad separadas para la entidad de certificación raíz y las entidades de certificación que emiten certificados de entidad final.

    Sin embargo, si ya está emitiendo certificados directamente desde una CA raíz, puede migrar a Autoridad de certificación privada de AWS. Esto proporciona ventajas de seguridad y control sobre el uso de una entidad de certificación raíz administrada con OpenSSL u otro software.

Ejemplo de una PKI privada para un fabricante

En este ejemplo, una hipotética compañía de tecnología fabrica dos productos de Internet de las cosas (IoT), una bombilla inteligente y una tostadora inteligente. Durante la producción, cada dispositivo obtiene un certificado de entidad final para que pueda comunicarse de forma segura a través de Internet con el fabricante. La PKI de la compañía también garantiza su infraestructura informática, incluyendo el sitio web interno y varios servicios informáticos autoalojados que ejecutan operaciones financieras y comerciales.

En consecuencia, la jerarquía de entidad de certificación modela de cerca estos aspectos administrativos y operativos del negocio.

Diagrama de una jerarquía de entidad de certificación más compleja.

Esta jerarquía contiene tres raíces, una para operaciones internas y dos para operaciones externas (una entidad de certificación raíz para cada línea de productos). También ilustra múltiples longitudes de ruta de certificación, con dos niveles de entidades de certificación para operaciones internas y tres niveles para operaciones externas.

El uso de entidades de certificación raíz separadas y profundidad adicional en el lado de operaciones externas es una decisión de diseño que satisface las necesidades empresariales y de seguridad. Con múltiples árboles de entidades de certificación, la PKI está preparada para el futuro contra reorganizaciones corporativas, desinversiones o adquisiciones. Cuando se producen cambios, toda una jerarquía de entidad de certificación raíz puede moverse limpiamente con la división que protege. Y con dos niveles de entidad de certificación subordinada, las entidades de certificación raíz tienen un alto nivel de aislamiento de las entidades de certificación de nivel 3 que son responsables de firmar en bloque los certificados de miles o millones de artículos manufacturados.

En el lado interno, las operaciones de la web corporativa y de la computadora interna completan una jerarquía de dos niveles. Estos niveles permiten a los administradores web y a los ingenieros de operaciones administrar la emisión de certificados de forma independiente para sus propios dominios de trabajo. La compartimentación de PKI en dominios funcionales diferenciados es una práctica recomendada de seguridad y protege a cada uno de un peligro que pudiera afectar al otro. Los administradores web emiten certificados de entidad final para que los utilicen los navegadores web de toda la empresa, autenticando y cifrando las comunicaciones en el sitio web interno. Los ingenieros de operaciones emiten certificados de entidad final que autentican los alojamientos del centro de datos y los servicios informáticos entre sí. Este sistema contribuye a proteger la información confidencial cifrándola en la LAN.

Establezca restricciones de longitud en la ruta de certificación

La estructura de una jerarquía de entidad de certificación se define y aplica mediante la extensión de restricciones básicas que contiene cada certificado. La extensión define dos restricciones:

  • cA: si el certificado define una CA. Si este valor es falso (el valor predeterminado), el certificado es un certificado de entidad final.

  • pathLenConstraint: el número máximo de CA subordinadas de nivel inferior que pueden existir en una cadena de confianza válida. El certificado de la entidad final no se cuenta porque no es un certificado de CA.

Un certificado de entidad de certificación raíz necesita la máxima flexibilidad y no incluye una restricción de longitud de ruta. Esto permite que la raíz defina una ruta de certificación de cualquier profundidad.

nota

Autoridad de certificación privada de AWS limita la ruta de certificación a cinco niveles.

Las entidades de certificación subordinadas tienen valores pathLenConstraint iguales o superiores a cero, en función de la ubicación en la ubicación de la jerarquía y de las características deseadas. Por ejemplo, en una jerarquía con tres entidades de certificación, no se especifica ninguna restricción de ruta para la entidad de certificación raíz. La primera entidad de certificación subordinada tiene una longitud de ruta de 1 y, por lo tanto, puede firmar entidades de certificación secundarias. Cada una de estas entidades de certificación secundarias debe tener necesariamente un valor pathLenConstraint de cero. Esto significa que pueden firmar certificados de entidad final pero no pueden emitir certificados de entidad de certificación adicionales. Limitar la potencia para crear nuevas entidades de certificación es un control de seguridad importante.

El siguiente diagrama ilustra esta propagación de entidad de certificación limitada en la jerarquía.

Diagrama de una jerarquía de entidad de certificación simple de tres niveles.

En esta jerarquía de cuatro niveles, la raíz no está restringida (como siempre). Pero la primera entidad de certificación subordinada tiene un valor pathLenConstraint de 2, lo que limita a sus entidades de certificación secundarias a profundizar más de dos niveles. Por consiguiente, para una ruta de certificación válida, el valor de restricción debe disminuir a cero en los dos niveles siguientes. Si un explorador web encuentra que un certificado de entidad final de esta rama tiene una longitud de ruta mayor de cuatro, la validación devuelve un error. Dicho certificado podría ser el resultado de una entidad de certificación creada accidentalmente, de una entidad de certificación configurada incorrectamente o de una emisión no autorizada.

Gestione la longitud de la ruta con plantillas

Autoridad de certificación privada de AWS proporciona plantillas para emitir certificados raíz, subordinados y de entidad final. Estas plantillas encapsulan las prácticas recomendadas para los valores básicos de restricciones, incluida la longitud de la ruta. Las plantillas incluyen lo siguiente:

  • RootCACertificate/V1

  • SubordinateCACertificate_PathLen0/V1

  • SubordinateCACertificate_PathLen1/V1

  • SubordinateCACertificate_PathLen2/V1

  • SubordinateCACertificate_PathLen3/V1

  • EndEntityCertificate/V1

La API IssueCertificate devolverá un error si intenta crear una entidad de certificación con una longitud de ruta mayor o igual a la longitud de ruta de su certificado de entidad de certificación emisor.

Para obtener más información acerca de las plantillas de certificados, consulte Utilice plantillas de certificados AWS Private CA.

Automatice la configuración de la jerarquía de CA con AWS CloudFormation

Cuando se haya decidido por un diseño para su jerarquía de CA, puede probarlo y ponerlo en producción mediante una AWS CloudFormation plantilla. Para obtener un ejemplo de una plantilla de este tipo, consulte Declaración de una jerarquía de entidad de certificación privada en la Guía del usuario de CloudFormation .