Políticas
Visão geral
Políticas são conjuntos de regras ou diretrizes que definem como os certificados podem ser usados. No Redtrust, as políticas definem regras e restrições sobre como certificados individuais ou grupos de certificados são usados. Geralmente, se um certificado não tiver políticas atribuídas, nenhum usuário poderá usá-lo. Somente os proprietários de um certificado têm acesso completo ao seu certificado, substituindo quaisquer políticas configuradas. Para obter mais informações, consulte Certificates.
Você pode configurar políticas na guia de navegação Policies do admin console. Para fazer isso, é necessário escolher um grupo de certificados e definir quem pode usá-los e onde eles podem usá-los (ou seja, em quais aplicativos e sites) e quando (ou seja, em quais horários). Na barra lateral, você também pode definir os aplicativos e os sites que podem usar certificados.
Clique aqui para ver a lista de configurações de política.
Configurações de política
Geral
| Configuração | Descrição |
|---|---|
| Nome | Nome descritivo da política. |
| Prioridade | Determina a ordem em que as políticas são aplicadas quando os usuários desejam usar um certificado atribuído a várias políticas, sendo 0 a prioridade mais alta. Evite atribuir políticas com o mesmo nível de prioridade ao mesmo usuário ou grupo, pois isso pode fazer com que as políticas sejam aplicadas de forma inconsistente. |
| Status | Determina se a política está ativada ou desativada. Uma política ativada estará ativa e será aplicada, enquanto uma política desativada estará inativa/não será aplicada. |
| Action | Define se a política permitirá ou negará o uso do certificado com base nos parâmetros definidos da política. |
| Política de PIN do usuário | Não fazer nada: Quando esta opção está selecionada, o sistema exige um PIN do usuário apenas se o certificado estiver configurado para exigi-lo. Pedir o PIN do usuário: Esta opção exige o PIN quando um certificado é utilizado. Não pedir o PIN do usuário: Esta opção não exige o PIN, a menos que a configuração do certificado esteja definida como Forçar solicitação do PIN do usuário. |
| Descrição | Informações opcionais sobre a política. |
Certificados
A seção Certificados do assistente de criação de políticas define a quais certificados ou grupos de certificados uma política se aplica.
| Configuração | Descrição |
|---|---|
| Selecione o(s) certificado(s) e comece a digitar para preencher uma lista de certificados e grupos de certificados a serem escolhidos para a política. Os certificados disponíveis nessa lista dependerão dos grupos de certificados aos quais o usuário autenticado no momento tem acesso com base em sua função definida. Para obter mais informações, consulte a seção roles | . |
Quem
A seção Quem do assistente define os usuários ou grupos de usuários aos quais a política se aplicará. Você pode procurar um usuário digitando as duas primeiras letras do nome dele no campo Usuário.
| Configuração | Descrição |
|---|---|
| Select User(s) | Comece a digitar para preencher uma lista de usuários e grupos de usuários a serem selecionados. Vários usuários e grupos de usuários podem ser selecionados. |
Onde
A seção Onde do assistente define os aplicativos ou expressões regulares que se aplicam à política. Selecione Adicionar aplicativos para exibir uma lista de aplicativos criados.
Se nenhum aplicativo relevante tiver sido definido, o usuário poderá definir um novo aplicativo usando o botão Adicionar grupo de aplicativos. Para obter mais informações, consulte a seção Aplicativos.
Quando
A seção Quando do assistente define a opção para agendar quando a política será aplicada.
Ela pode ser configurada para ser sempre aplicada ou seguir uma programação personalizada com base em datas específicas, horários do dia ou dias da semana. Ao selecionar um intervalo de datas, é exibido um calendário para que você escolha as datas de início e término. Para um intervalo de tempo específico, você pode especificar as horas durante as quais a política está ativa. Além disso, você pode definir os dias da semana em que seu uso é permitido.
O Redtrust usa o Tempo Universal Coordenado (UTC) para medir a hora e as datas das políticas.
Clique aqui para ver a lista de operações de política.
Operações de política
Para ver as operações de política, clique no ⋯ na linha do certificado.
| Configuração | Descrição |
|---|---|
| Atribuir uma política a uma função Por padrão | Uma política é atribuída à função que a criou. Isso garante que somente os usuários dessa função, que têm as permissões necessárias, possam visualizar e modificar a política. No entanto, a política ainda pode ser aplicada a usuários fora da função atribuída. A conta de administrador do Redtrust tem a capacidade de reatribuir a política a uma função diferente, se necessário. |
| Habilitar e desabilitar | Habilita ou desabilita a política. |
| Excluir | Exclui permanentemente a política. |
Aplicativos
Na guia Aplicativos da seção Políticas do console de administração, é possível definir aplicativos criando processos ou expressões regulares (RegEx) que são aplicados na linha de comando. Esses grupos de aplicativos podem ser aplicados a políticas, permitindo um controle granular sobre quais aplicativos no computador do cliente têm permissão ou são proibidos de usar o certificado associado à política.
Ao adicionar o processo ou a expressão da linha de comando a um grupo de aplicativos (veja a imagem abaixo), você pode usar o campo Pesquisa de coincidências para testar o processo ou a expressão da linha de comando. Dessa forma, você pode verificar se o texto corresponde a alguma propriedade que tenha sido adicionada a esse grupo de aplicativos. Para testar, basta digitar o texto e clicar em Testar. Se nada for encontrado, o Redtrust exibirá um aviso. Se for bem-sucedido, ele mostrará o número de elementos que correspondem ao campo.
Clique aqui para ver uma lista das configurações dos aplicativos.
| Configuração | Descrição |
|---|---|
| Nome do grupo de aplicativos | O nome do grupo de aplicativos. |
| Processo | Nome do aplicativo que você deseja definir (sem a extensão). É usado para identificar aplicativos específicos, como “mmc” para o Microsoft Management Center ou “signtool” para o Microsoft SignTool. Para indicar qualquer aplicativo, você pode usar o * como um operador curinga, inserindo um ponto seguido de um asterisco [ .* ] Se desejar, vários processos podem ser adicionados. |
| Linha de comando | Essa opção permite que você defina um RegEx para analisar o comando que está sendo executado e verificar se ele corresponde ao padrão específico. Isso é útil quando você deseja impor propriedades específicas, como especificar PDFs de um caminho específico ou outras configurações, quando estiver usando o certificado no Acrobat Reader. O exemplo a seguir usa um RegEx para definir o cenário acima. .*Acrobat.exe D:Document D:*.pdf.*. |
Sites
A guia Sites na seção Políticas do console de administração é onde os grupos de sites podem ser definidos. Esses sites podem ser aplicados a políticas que permitem controle granular sobre quais sites no computador do cliente têm permissão ou são proibidos de usar o certificado associado à política. Além disso, quando um usuário é autenticado em um site, é possível controlar quais seções do site são acessíveis e quais não são.
Este é um exemplo para entender melhor o campo de configuração Site. Se você adicionar www*.aeat.es, ele será resolvido para www.aeat.es ou www1.aeat.es ou www.gob.aeat.es. Ou seja, o caractere * é equivalente a qualquer número de caracteres ou a nenhum. Além disso, o caractere ? pode ser resolvido com zero ou um caractere. Da mesma forma, o caractere + é resolvido com um ou mais caracteres.
Os sites podem ser definidos no nível do host ou no nível do URL completo. A diferença é marcada com um / no final do domínio. Por exemplo, * .agenciatributaria.gob.es/path resolve para www.agenciatributaria.gob.es/path, mas não para www.agenciatributaria.gob.es/another_path. Em vez disso, aplcr.dgt.es resolve para qualquer URL dentro de aplcr.dgt.es.
Você também pode definir filtros no nível do URL. Por exemplo, *.agenciatributaria.gob.es/*/aeat resolve para www.agenciatributaria.gob.es/es13/aeat ou www.agenciatributaria.gob.es/es13/ct/aeat.
Por exemplo, ao combinar esses dois mecanismos, você pode criar uma política que dê acesso a um domínio inteiro e criar uma política de prioridade mais alta, negando acesso a uma parte específica da web.
Se você usar o caractere ?, * ou + literalmente, sem a intenção de interpretá-lo como um curinga em expressões regulares, por exemplo, porque ele está contido no URL, você deve escapar do caractere usando o \. Ou seja, use \?, \* ou \+.
Exemplo: https://sedeapl.dgt.gob.es:\?9443/WEB_COPACI3/certificado/irAntecedentes.faces
Clique aqui para ver a lista de configurações do site.
| Configuração | Descrição |
|---|---|
| Nome do grupo de sites | Nome do grupo de sites. |
| Site | Define o site. É compatível com o uso dos caracteres * e ? como curingas ao defini-los. O * é resolvido para qualquer cadeia alfanumérica, mas não inclui o ., ou seja, permite definir uma cadeia curinga em um subdomínio. |
| Expressão regular | A opção de expressão regular. Para obter mais informações sobre o uso de expressões regulares, consulte este artigo sobre o tópico. |