Oracle Cloud Infrastructure - Dokumentation

CSR unterzeichnen

Erfahren Sie, wie Sie eine Certificate Signing Request (CSR) im Rahmen einer HSM-Clusterinitialisierung in OCI Dedicated Key Management signieren.

Voraussetzung: Diese Aufgabe wird abgeschlossen, nachdem Sie den CSR heruntergeladen haben, wie unter Zertifikatsignaturanforderung herunterladen beschrieben.

Um zu signieren, müssen Sie zunächst ein selbstsigniertes Signaturzertifikat erstellen und es zum Signieren der Certificate Signing Request (CSR) verwenden. Zum Abzeichnen müssen Sie die folgenden Aufgaben ausführen:
  1. Generieren Sie ein RSA-Schlüsselpaar für Ihre HSM-Clusterressource. Dieser Schlüssel wird als PO-Schlüssel (Partition Owner) bezeichnet. Stellen Sie sicher, dass Sie den Schlüssel und die Passphrase an einem sicheren und sicheren Ort wie einem KMS Vault speichern. Mit dem Schlüssel können Sie die im vorherigen Schritt heruntergeladene Partitions-CSR signieren.
    $ openssl genrsa -aes256 -out customerPO.key 
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for customerPO.key:
Verifying - Enter pass phrase for customerPO.key:
  2. Verwenden Sie den Schlüssel für den Partitionsbesitzer (customerPO.key), um ein Zertifikat für den Partitionsbesitzer zu generieren (partitionOwnerCert.pem). Der folgende Befehl generiert das Zertifikat, das nur zehn Jahre gültig ist. Sie können das Ablaufdatum bei Bedarf ändern, das Ablaufdatum muss jedoch mindestens 5 Jahre betragen. Das Zertifikat des Partitionseigentümers muss für dedizierte KMS-Benutzer freigegeben werden.
    $ openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem
Enter pass phrase for customerPO.key:
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:SJ
Organization Name (eg, company) []:Oracle
Organizational Unit Name (eg, section) []:Sec
Common Name (eg, fully qualified host name) []:kms
Email Address []:
  3. Signieren Sie den CSR (partitionCsr .csr) mit dem Partitions-Eigentümerschlüssel (customerPO.key) und partitionOwnerCert.pem (in den vorherigen Schritten erstellt), um partitionCert.pem zu generieren.
    $ openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem
Signature ok
subject=/C=US/ST=CA/L=Default City/O=Default Company Ltd/CN=user1
Getting CA Private Key
Enter pass phrase for customerPO.key:
$ ls
customerPO.key  partitionCert.pem  partitionOwnerCert.pem  partitionOwner.srl
  4. Codieren Sie partitionCert.pem und partitionOwnerCert.pem mit den folgenden Befehlen zur Basis 64. (Dieser Schritt ist nur für die CLI erforderlich.)
  5. Laden Sie die Zertifikate partitionCert.pem und partitionOwnerCert.pem in das HSM-Cluster hoch.
    openssl base64 -A -in partitionCert.pem
openssl base64 -A -in partitionOwnerCert.pem