Los validadores se aplican a las CA para validar la emisión de certificados, basándose en la solidez de la clave, el origen u otros valores inherentes al certificado emitido. Para aplicar una validación al proceso de emisión, seleccione el validador adecuado en la pantalla "Editar CA" para que se ejecute en la fase correspondiente del proceso. Además, se puede restringir la ejecución de los validadores para que solo se ejecuten con ciertos perfiles de certificado.

Tenga en cuenta que se ejecuta un validador cada vez que se emite un nuevo certificado si el validador se ha seleccionado en la pantalla Editar CA y el perfil de certificado del certificado que se está emitiendo está habilitado en la pantalla Editar validador.

En caso de no pasar la validación se cancelará el proceso de emisión.

Para explorar los Validadores, seleccione la opción de menú Validadores debajo del encabezado Funciones de CA.

La validación también se puede realizar manualmente con la Herramienta de Validación/Conformidad para realizar una validación personalizada en una muestra de certificados. Para más información, consulte la Herramienta de Validación/Conformidad EJBCA .

Fases de emisión

Se ejecutan diferentes validadores en las distintas fases del proceso de emisión. Si se configuran varios validadores para distintas fases, se ejecutan completamente según la especificación de la fase; si falla una fase, se detendrá la ejecución de las demás.

Fase	Descripción
Aprobación	La validación se realiza al crear una solicitud de aprobación (y, por lo tanto, solo para acciones que requieren la aprobación del administrador). Al aprobar la solicitud, se muestra una casilla de verificación en la web de RA. Si el validador se ha configurado para ejecutarse durante la fase de aprobación y no existen requisitos de aprobación para esa CA, entonces no tendrá ningún efecto.
Datos	La validación se realiza en los datos recopilados antes de ensamblar el tbsCertificate.
Emisión	La validación se realiza durante la fase de aprobación justo antes de la emisión, lo que hace que se agregue una solicitud de aprobación a la emisión.
Certificado de pre-firma (Solo X509CA)	El validador se ejecuta en un certificado firmado con una clave ficticia codificada , antes de que se genere cualquier precertificado CT o certificado final. Se utiliza para validar el contenido del certificado antes de usar la clave privada de la CA. Esto resulta útil, ya que la firma de un precertificado CT se considera una emisión, y la revocación es, en principio, necesaria incluso si el precertificado CT no se ha registrado. El uso de un certificado prefirmado permite la validación antes de que se impongan requisitos a un precertificado CT o a los certificados finales. El certificado prefirmado tiene el mismo contenido que el certificado final, excepto por el authorityKeyId, que corresponde a la clave ficticia codificada (y la firma es diferente, por supuesto). Para utilizar el mismo algoritmo de firma que el certificado emitido por la CA, la clave ficticia tiene el mismo algoritmo de clave que la clave de firma de la CA; para RSA una clave de 2048 bits, para ECDSA secp256r1, DSA 1024 bits o Ed25519 y Ed448.
Precertificado CT (Solo X509CA)	El validador se ejecuta en el tbsCertificate (precertificado de transparencia de certificado, RFC6962) antes de que se firme el certificado final y antes de que el precertificado CT se envíe a cualquier registro CT. Para que se realice la validación del precertificado CT, el envío de Transparencia del certificado debe estar habilitado para el perfil del certificado; de lo contrario, no se crea un precertificado CT y, por lo tanto, no se valida.
Certificado	El validador se ejecuta en el certificado firmado final, pero antes de su emisión, almacenamiento o publicación. Un fallo en la validación puede provocar la reversión del proceso de creación del certificado (si el validador está configurado para abortar), lo que en la práctica significa que no se emitió ningún certificado. Si el envío de Transparencia de Certificados está habilitado, es posible que el certificado se haya enviado a los registros CT, lo que genera un estado incoherente: se registra un precertificado CT, pero no se emite el certificado final. Si utiliza CT, se recomienda realizar la validación del certificado en las fases de prefirma y precertificado CT.

Tipos de validadores

Los siguientes tipos de validadores existen actualmente en EJBCA. Para obtener más información, haga clic en el enlace de la columna "Nombre" a continuación.

Nombre	Implementaciones	Descripción
Validadores de claves	Validador de claves RSA Validador de claves ECC Validador de lista de bloqueo de clave pública	Esta clase de validador está diseñada para ejecutarse en la clave pública enviada, por lo que se ejecuta durante la fase de datos.
Validadores de posprocesamiento	Validador de certificados de comando externo	Los validadores de posprocesamiento están destinados a validar el certificado procesado antes o después de la firma, por lo que se pueden ejecutar durante las fases de certificado previo a la firma, precertificado CT o certificado.
Validadores de campos de certificado	Validador CAA Validador de lista de bloqueo de dominios Validador de lista de dominios permitidos	Los validadores de campo evalúan la solidez de los campos en el CSR enviado y se ejecutan durante las fases de datos o aprobaciones.

Registro de auditoría

Todos los resultados de la validación se registran en la auditoría y también en los registros del servidor con más detalles (el nivel de registro se puede configurar).

Configuraciones comunes del validador

Para controlar el comportamiento durante la emisión del certificado, se pueden aplicar las siguientes restricciones base por validador:

Configuración	Descripción
Descripción	Una descripción general del Validador, que no se utiliza para ningún propósito de validación.
Solicitar perfiles de certificación	Validar claves solo para estos perfiles de certificado. Si no se selecciona nada en esta lista, no se realizará ninguna validación.
Solicitar todos los perfiles de certificación	Validar claves para todos los perfiles de certificado, la lista anterior será ignorada.
Si la validación falló	Definir el comportamiento si falla la validación de claves (por ejemplo, cancelar la emisión, registrar un mensaje de error para activar los sistemas de monitoreo, etc.). Toda emisión fallida también agrega un registro al registro de auditoría de seguridad.
Si el Validador no fuera aplicable	Define el comportamiento si la entrada no es aplicable al validador seleccionado (por ejemplo, cancelar la emisión, registrar un mensaje de error para activar los sistemas de monitorización, etc.). Esto gestiona el caso, por ejemplo, cuando se pasa una CSR con claves ECC a un validador de claves RSA. Asimismo, para el validador de comandos externo, si los scripts están habilitados y el script no está en la lista de permitidos, el validador de comandos externo lo trata como un evento no aplicable. Esto no tiene efecto para los validadores de campos de certificado (lista de bloqueo de dominios y validadores de CAA)