Evitar la creación de tercer nivel de Cas Subordinadas

 

Hola.

Hoy he tenido que diseñar una CA subordinada dependiente de una CA Raiz ya existente.

Evidentemente, esta CA Subordinada estará limitada en funciones e incluso vamos a tener que limitar el que se pueda generar certificados de nuevas Ca Subordinadas de esta CA Subordinada, o lo que es lo mismo crear un tercer nivel de Cas en la corporación.

 

Para conseguir esto, podéis hacer dos cosas:

 

1. En el archivo donde configuraís la política de la CA, previamente a la creación de esta y posterior firma de solicitud por parte de la CA Raiz, utilizar le siguiente parámetro:

c:windowscapolicy.inf

[BasicConstraintsExtension]
PathLength=0 (Indica el número de niveles que puede haber por debajo de ella misma).
Critical=Yes

Seguir con la creación de la CA, generar la petición y posterior firma de petición por parte de la CA.

*Esta opción no es la recomendada por Microsoft.

2. Recomendada por Microsoft, esta opción se basa en configurar en la CA Raiz el mismo parámetro que indica los niveles que puede haber por debajo de ella, contandose a ella misma, por lo que en nuestro caso, querríamos 2.

Esta forma de configurar este aspecto, es asumible si somos quienes administramos la CA Raiz, evidentemente.

Comando a lanzar en la CA Raiz, previa firma de certificado subordinado: 

Certutil –setreg PolicyCAPathLength 2

 

Espero que os resulte de ayuda.