Reglas de acceso del administrador de RA

A continuación se cubren las reglas de acceso de administrador de RA y se describe cómo usar las plantillas de roles y el modo avanzado y se describe un flujo de trabajo de ejemplo.

Uso de las plantillas de roles

Para obtener autorización para usar la RA, tanto el rol de conexión entre pares (si la RA se ejecuta como un servicio externo) como el rol de Usuario/Administrador deben estar configurados para permitir el acceso a la funcionalidad deseada. A continuación, se describe cómo funciona la autorización para las plantillas de rol integradas.

Administradores de CA

Los administradores de CA tienen acceso a todas las funciones de la RA, pero solo a las CA seleccionadas con el rol de administrador. Las CA, las entidades finales y los certificados relacionados se ocultarán si el administrador no tiene acceso.

Administradores de RA

Los administradores de RA tienen acceso a las páginas Inscripción, Búsqueda y Administrar solicitudes, según las reglas de entidad final seleccionadas. El acceso está restringido según las CA y los perfiles de entidad final seleccionados. Para solicitar un certificado, el administrador necesita el acceso "Crear entidades finales" . El permiso para aprobar o rechazar una solicitud se controla mediante el perfil de aprobación, pero las solicitudes de certificado y las solicitudes de edición de entidades finales también requieren el acceso "Aprobar entidad final ". La búsqueda de entidad final requiere el acceso "Ver entidad final" . La búsqueda de certificado requiere el acceso "Ver certificado" .

Supervisores

Los supervisores tienen acceso a las páginas Administrar solicitudes y Buscar únicamente en modo de solo lectura.

Auditores

Los auditores tienen acceso a todo en modo de solo lectura, excepto a la página de Inscripción, a la que no es accesible.

Uso manual del modo avanzado

Tenga en cuenta que, además de la configuración del rol, la configuración de cumplimiento de la CA también controla cuándo se pueden emitir los certificados. Dado que la RA siempre crea una nueva entidad final para cada solicitud, esto significa que, para la renovación, Para que los certificados funcionen, las opciones Aplicar claves públicas únicas y Aplicar DN único deben estar deshabilitadas.

Si configura las reglas de acceso en el modo avanzado (es decir, sin usar las plantillas de roles), necesitará las siguientes reglas de acceso (enumeradas por elemento del menú). También necesitará acceso a las CA y los perfiles de entidad final relacionados, incluidas todas las CA a las que hacen referencia los perfiles de entidad final.

Inscripción - Realizar nueva solicitud

 /ca_functionality/crear_certificado/
 /ra_funcionalidad/crear_entidad_final/
 /California/.../
 /reglasdeperfilesdeentidadfinal/.../crear_entidad_final/

Inscripción - Usar ID de solicitud

 /ca_functionality/crear_certificado/
 /ca_functionality/id_de_solicitud_de_aprobación_de_uso/
 /California/.../
 /reglasdeperfilesdeentidadfinal/.../crear_entidad_final/
 /reglasdeperfilesdeentidadfinal/.../ver_entidad_final/

Inscripción - Usar nombre de usuario

 /ca_functionality/crear_certificado/
 /ca_funcionalidad/usar_nombre_de_usuario/
 /California/.../
 /reglasdeperfilesdeentidadfinal/.../crear_entidad_final/
 /reglasdeperfilesdeentidadfinal/.../ver_entidad_final/

Búsqueda de certificados y entidades finales

 /ra_funcionalidad/entidad_final_vista/
 /ca_functionality/ver_certificado/
 /California/.../
 /reglasdeperfilesdeentidadfinal/.../ver_entidad_final/

Además, si se debe permitir que el rol revoque certificados, se necesita la siguiente regla:

 /ra_functionality/revocar_entidad_final/

Administrar solicitudes

 /reglasdeperfilesdeentidadfinal/.../aprobar_entidad_final/

Y al menos una de las siguientes reglas:

 /ra_functionality/approve_end_entity/ - para aprobar solicitudes de certificados y operaciones de entidad final
 /ca_functionality/approve_caaction/ - para aprobar otras operaciones
 /secureaudit/auditor/select/ - para ver solicitudes sin poder aprobarlas

CA y CRL

 /funcionalidad_ca/vista_ca/
 /California/.../

Gestión de roles

 /funcionalidad_del_sistema/editar_privilegios_de_administrador/
 /funcionalidad_del_sistema/ver_privilegios_de_administrador/

Para realizar una gestión de roles real en la interfaz de usuario de RA, un rol para la gestión de roles también necesita acceso a las reglas que tienen los subroles (para ver esos subroles dentro de un espacio de nombres) y las siguientes reglas:

 /ca_functionality/view_ca/ /ca_functionality/view_certificate/ /ca/<CA issuing admin certificates>/

Recuperación de claves

 /ra_funcionalidad/recuperación de claves/
 /California/.../
 /reglasdeperfilesdedentidad/.../recuperacióndeclaves/

Tenga en cuenta que la RA no admite reglas de rechazo. Si se utiliza un rol con una regla de rechazo en la RA, se le denegará el acceso a todo como medida de seguridad.

Ejemplo de flujo de trabajo

Siga esta configuración de ejemplo para crear un usuario de RA que pueda solicitar certificados (que requieren aprobación) y un administrador de RA que pueda aprobar las solicitudes.

Se supone que ya tiene una CA (denominada High Assurance CA ), un perfil de certificado (denominado EV TLS ) y un perfil de entidad final (también denominado EV TLS ), donde los perfiles están configurados para emitirse desde esa CA.

Paso 1: Crear roles

Para configurar aprobaciones, necesita dos roles que serán parte del proceso de aprobación.

  1. En la interfaz de usuario de CA, vaya a Roles y reglas de acceso .

  2. Agregue un rol llamado Usuario RA .

  3. Agregue un rol llamado Administrador de RA .

  4. Editar reglas de acceso para usuarios de RA en modo personalizado → modo avanzado .
     /ca_functionality/crear_certificado/
    /ca_functionality/id_de_solicitud_de_aprobación_de_uso/
    /ra_funcionalidad/crear_entidad_final/
    /ca/CA de alta seguridad/
    /reglasdeperfilesdeentidadfinal/EVTLS/crear_entidad_final/

  5. Haga clic en Guardar

  6. Editar reglas de acceso para el administrador de RA :

    Plantilla:

    Administrador de RA

    CA autorizadas:

    CA de alta seguridad

    Reglas de entidad final:

    todo

    Perfiles de entidad final:

    EV TLS

    Otras reglas:

    ninguno

  7. Haga clic en Guardar .

  8. Ahora agregue algunos usuarios a los roles de Usuario RA y Administrador RA .

Paso 2: Administración de roles web de RA

Opcionalmente, el rol de usuario de RA se puede configurar desde la web de RA, lo cual resulta útil si el administrador conectado no tiene acceso a la CA (por ejemplo, desde una RA externa). Para usar la gestión de roles en la RA, se requieren privilegios de gestión de roles (consulte Gestión de roles ).

  1. Vaya a la Web de RA ( https://[yourdomain]:8443/ejbca/ra ).

  2. Vaya a Administración de roles > Roles .

  3. Haga clic en Crear nuevo rol .

  4. En el panel Disponible , seleccione CA de alta seguridad y haga clic en Agregar .

  5. Seleccione las opciones de Permisos de entidad final Crear entidades finales y Ver entidades finales .

  6. En Perfiles de entidad final , seleccione EV TLS y haga clic en Agregar .

  7. Haga clic en Agregar en la parte inferior de la página.

El rol de usuario RA se agrega con las reglas de acceso correspondientes disponibles en la interfaz de usuario de CA.

Paso 3: Crear un perfil de aprobación

Para configurar el sistema para que requiera aprobaciones para emitir ciertos certificados, debe crear un perfil de aprobación.

Tenga en cuenta que el sistema de aprobación almacena los privilegios de rol por solicitud. Por lo tanto, si cambia de rol en un perfil de aprobación, deberá realizar una nueva solicitud para que se apliquen los nuevos atributos del rol. Las solicitudes anteriores se mantendrán vigentes después de las reglas establecidas al momento de realizarlas.

Cree un perfil de aprobación con dos partes

Para crear una parte para verificar la evidencia:

  1. En la interfaz de usuario de CA, vaya a Perfiles de aprobación.

  2. Ingrese Aprobación EV TLS y haga clic en Agregar.

  3. Haga clic en Editar para la aprobación EV TLS.

  4. Cambiar el tipo de perfil de aprobación a Aprobación particionada .

  5. En la primera partición: seleccione RA Admin como Roles que pueden aprobar esta partición.

  6. En la primera partición: seleccione Cualquiera como Roles que pueden ver esta partición.

  7. En la primera partición: agregue una casilla de verificación llamada Evidencia verificada.

  8. En la primera partición: agregue un campo de texto llamado Ruta a la evidencia.

  9. Introduzca evidencia en el campo de nombre de la primera partición.

  10. Haga clic en Guardar.

Para crear otra parte para verificar el pago:

  1. En la interfaz de usuario de CA, vaya a Perfiles de aprobación.

  2. Haga clic en Editar para la aprobación EV TLS.

  3. Haga clic en Agregar partición.

  4. Cambiar el tipo de perfil de aprobación a Aprobación particionada.

  5. En la segunda partición: seleccione RA Admin como Roles que pueden aprobar esta partición.

  6. En la segunda partición: seleccione Cualquiera como Roles que pueden ver esta partición.

  7. En la segunda partición: agregue una casilla de verificación llamada Pago verificado.

  8. En la segunda partición: agregue un botón llamado Método de pago y agregue las filas Tarjeta de crédito y Factura.

  9. En la segunda partición: agregue un campo de texto llamado Ruta al recibo.

  10. Introduzca Pago en el campo de nombre de la segunda partición.

  11. Haga clic en Guardar.

Paso 4: Configurar el perfil de certificado para usar el perfil de aprobación

También debe configurar el perfil de certificado para utilizar el perfil de aprobación.

  1. En la interfaz de usuario de CA, vaya a Perfiles de certificado .

  2. Haga clic en Editar para EV TLS .

  3. En Configuración de aprobación , seleccione Agregar/Editar entidad final , Revocación y Recuperación de clave

  4. Para los perfiles de aprobación , seleccione la aprobación EV TLS recién creada.

  5. Haga clic en Guardar.

Paso 5: Solicitar certificados

Abra una nueva sesión del navegador y acceda a la RA en https://localhost:8443/ejbca/ra/. Ahora podrá solicitar certificados mediante la función " Inscribir > Realizar nueva solicitud" .

La información mostrada depende del acceso del usuario de RA; por ejemplo, si uno o más perfiles o CA están disponibles. Cuando solo hay una opción disponible y, por lo tanto, no hay opciones disponibles, esta no se muestra en la página, lo que resulta en una página de solicitud fácil de usar gracias a una configuración limitada.

Cuando haya creado una solicitud, se le mostrará un mensaje indicando que su solicitud ha sido enviada para su aprobación y se le proporcionará un ID de solicitud para que pueda seguir el estado de su solicitud.

Paso 6: Aprobación de solicitudes

<p Abra una nueva sesión en el navegador y acceda de nuevo a la RA como administrador . Ahora debería tener la opción "Administrar solicitudes" . Aquí puede ver, aprobar o rechazar solicitudes. Las solicitudes también se pueden editar y, una vez actualizadas, deben ser aprobadas por otro administrador, ya que no puede aprobar sus propias modificaciones.