Requisitos y excepciones
Esta sección identifica los requisitos que debe cumplir si decide utilizar su propia CA para generar un nuevo certificado de entidad.
No puede utilizar un certificado SSL de servidor (como un certificado comodín) como certificado de subentidad.
Requisitos del nuevo certificado de autoridad secundaria
Cuando se emite el certificado
- Debe tener una extensión de restricciones básica
- Deben tener las extensiones de uso de clave KeyCertSign y CrlSign.
- Debe utilizar DER ASN.1
- Se debe emitir un certificado independiente para cada servidor de consola; no se puede emitir un único certificado para varios servidores de consola.
La extensión indica que el certificado puede emitir otros certificados. También puede elegir especificar que la longitud de la ruta de acceso es 0, lo que significa que el certificado no se puede utilizar para crear un certificado de emisión. Para obtener más información, consulte RFC 5280.
Cuando se instala el certificado en el equipo de la consola
- Debe tener una clave privada asociada
- Debe estar ubicado en el almacén de certificados de autoridades de certificación intermedias de la cuenta del equipo
Excepciones
Cuando se configura el entorno para que funcione con una AC de terceros, la consola ya no se actualizará automáticamente y se caducará el certificado raíz. Security Controls proporcionará una advertencia cuando el certificado se acerque a su fecha de caducidad, pero el administrador local deberá crear manualmente el nuevo certificado con su propia AC.