Oracle Cloud Infrastructure-Dokumentation

Eigene Certificate Authority verwenden

Bring Your Own Certificate Authority (BYOCA) für OCI Certificates bietet Unternehmen die Flexibilität, ihre vorhandene Certificate-Authority-(CA-)Infrastruktur direkt in OCI zu integrieren, während sie die vollständige Kontrolle über ihre Private Keys behalten.

Unternehmen führen heute ausgereifte, tief verwurzelte PKI-Umgebungen aus, die Tausende von Anwendungen, behördliche Auflagen und langjährige Vertrauensketten unterstützen. Der Neuaufbau dieser Hierarchie in der Cloud ist teuer, riskant und selten durchführbar. Kunden benötigen eine sichere, vorhersehbare Möglichkeit, ihre vorhandenen Root-CAs mit OCI zu verbinden, die Vertrauenskontinuität aufrechtzuerhalten und die Cloud-Automatisierung einzuführen, ohne den Betrieb zu unterbrechen.

BYOCA ist genau dafür gebaut.

Eigene Root Certificate Authority verwenden

Sie können eine externe Root Certificate Authority (CA) in OCI-Zertifikate importieren, indem Sie das Zertifikat (PEM) angeben, ohne Ihre Private Keys jemals hochzuladen. OCI registriert die CA als extern verwaltete Root-CA, wobei das Vertrauen in eine vorhandene Public Key-Infrastruktur gewahrt bleibt und gleichzeitig sichergestellt wird, dass die Schlüssel ausschließlich unter Ihrer Kontrolle bleiben.

So importieren Sie Ihre Root-CA:

  1. Öffnen Sie in der OCI-Konsole das Hauptmenü (☰ Hamburger-Menü), und gehen Sie zu Identität und Sicherheit, und wählen Sie Zertifikate aus.
  2. Wählen Sie unter Certificate Authoritys die Option Certificate Authority importieren aus.
  3. Geben Sie den Namen und die Beschreibung ein.
  4. Wählen Sie das Compartment für die Root-CA aus.
  5. Laden Sie die PEM-Datei Ihres Root-CA-Zertifikats hoch, oder fügen Sie sie in OCI ein. Fügen Sie eine externe Schlüsselbeschreibung hinzu.
  6. Wählen Sie Importieren aus.
Hinweis

Weitere Informationen zum Importieren Ihres Zertifikats finden Sie unter Eigene Certificate Authority importieren.

OCI-verwaltete untergeordnete CA erstellen

Generieren Sie nach dem Import Ihrer Root-CA einen Certificate Signing Request (CSR) in OCI. Um eine neue untergeordnete CA (subCA) zu erstellen, wählen Sie im Dialogfeld Certificate Authority erstellen die Option Untergeordnete Certificate Authority: Externe CA ausgestellt, Intern verwaltet aus. Signieren Sie diesen CSR dann extern mit Ihren vorhandenen Root-CA-Schlüsseln, und laden Sie das signierte Zertifikat wieder in OCI hoch. Zu diesem Zeitpunkt aktiviert der OCI Certificates-Service die untergeordnete CA und verwaltet sie in Ihrem Namen. Dabei werden Schlüssel verwendet, die sicher in OCI Key Management Service (KMS) gespeichert sind. Die untergeordnete CA benötigt einen mit HSM (Hardware Security Module) gesicherten Schlüssel.

Schritte zum Erstellen einer untergeordneten CA

Führen Sie die folgenden ersten Schritte aus, um eine untergeordnete CA zu erstellen:

  1. Externe Root-CA in OCI importieren. Siehe vorheriger Abschnitt.
  2. Navigieren Sie zur Listenseite Certificate Authoritys, und wählen Sie Certificate Authority erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, lesen Sie Certificate Authoritys auflisten.
  3. Geben Sie unter Basisinformationen den Namen und die Beschreibung ein.
  4. Wählen Sie das Compartment für die Root-CA aus.
  5. Wählen Sie Externe CA der untergeordneten Certificate Authority ausgestellt, intern verwaltet aus.

Füllen Sie die restlichen Abschnitte im CA-Dialogfeld aus.

(1) Subject-Informationen

Themeninformationen: Geben Sie den allgemeinen Namen ein, der die untergeordnete CA angibt, die in der Zertifikatshierarchie der Organisation erstellt wurde.

Füllen Sie nach Bedarf Additional Subject Distinguished Name Options aus.

(2) Authority-Konfiguration

Authority-Konfiguration:
  • Auswählen:
    • Compartment: Ziel-Compartment für Root-CA.
    • Aussteller-Certificate Authority: Die importierte externe Root-CA, die als übergeordnete Autorität für diese untergeordnete CA dient.
  • Auswählen:
    • Compartment: Ziel-Compartment für Vault.
    • Vault: Der Vault, der den Schlüssel speichert.
  • Auswählen:
    • Compartment: Ziel-Compartment für den Schlüssel.
    • Schlüssel: Der Schlüssel für die CA.

(3) Regeln

Führen Sie die folgenden Schritte aus, um Regeln zu konfigurieren:

  1. Ablaufregel: Aktiviert. Der Standardwert.
    • Maximale Gültigkeitsdauer für Zertifikat: Der empfohlene Wert beträgt 90 Tage.
    • Maximale Gültigkeitsdauer für untergeordnete CA: Der empfohlene Wert beträgt 1095 Tage (3 Jahre).

    Ändern Sie die Gültigkeitszeiträume entsprechend den Unternehmensanforderungen.

  2. Ausgaberegel: Aktiviert. Der Standardwert.
    • Constraint für Pfadlänge: Geben Sie die Länge an.
    • Name-Constraint: Definieren Sie alle Namens-Constraints, die definieren, welche Zertifikats-Subject-Namen/SAN diese CA ausgeben darf.
    Um Ausgaberegeln zu konfigurieren, geben Sie die zulässige Pfadlänge und alle Namens-Constraints an, die definieren, welche Zertifikats-Subject-Namen/SAN diese CA ausgeben darf.

(4) Widerrufskonfiguration

Sie können einen Speicherort für die Veröffentlichung einer Zertifikatsperrliste (Certificate Revocation List, CRL) konfigurieren. Eine CRL gibt die Versionen einer CA oder eines Zertifikats an, die vor Ablauf ihrer Gültigkeitsdauer nicht mehr vertrauenswürdig und ungültig sind. Die Widerrufseinstellungen können jederzeit aktualisiert werden.

  • Rücknahme aktivieren: Aktiviert. Der Standardwert.
  • Compartment: Compartment für den Objektspeicher-Bucket.
  • Objektspeicher-Bucket: Wählen Sie den Ziel-Bucket aus.
  • Objektnamensformat: Geben Sie ein Format für Objektdateien an.
  • Benutzerdefinierte formatierte URL: Geben Sie eine benutzerdefinierte formatierte URL als CRL Distribution Point (CDP) an.

Prüfen

Prüfen Sie Ihre Konfigurationsoptionen. Wählen Sie Certificate Authority erstellen aus.

Dadurch wird eine untergeordnete CA-Entity in OCI erstellt.

Schritte zum Aktivieren einer untergeordneten CA

So aktivieren Sie die untergeordnete CA:

  1. Navigieren Sie zur Listenseite Certificate Authorities. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, lesen Sie Certificate Authoritys auflisten.
  2. Wählen Sie die zuletzt erstellte untergeordnete CA aus.
  3. Gehen Sie zur Registerkarte Versionen. Unter Pending_Activation. Wählen Sie das Menü Aktionen (drei Punkte) für die Version aus, und wählen Sie CSR herunterladen aus.
  4. Nehmen Sie den heruntergeladenen CSR und signieren Sie den CSR mit Ihrer externen CA.
  5. Kehren Sie zur gleichen Registerkarte Versionen zurück, und wählen Sie Aktivieren aus. Laden Sie das signierte Zertifikat hoch, und wählen Sie Aktivieren aus.

Das Ergebnis nach dem Erstellen und Aktivieren Ihrer CA:

  • Eine voll funktionsfähige untergeordnete CA
  • Eine flexible Option für Private Keys, die entweder in OCI KMS generiert oder importiert wurden
  • Vollständiges OCI-Lebenszyklusmanagement und Zertifikatsausgabe direkt von der SubCA.

Sie können auch ihre eigenen asymmetrischen Schlüsselpaare für untergeordnete CAs direkt in OCI KMS importieren, was ihnen eine größere Flexibilität bei der Erstellung und Steuerung von Schlüsseln ermöglicht.

Übersicht

Mit BYOCA können Sie:

  • Erweitern Sie eine vorhandene Root-CA-Hierarchie in OCI, ohne private Schlüssel verfügbar zu machen.
  • Erstellen Sie OCI-verwaltete untergeordnete CAs mit CSRs, die von der externen Root signiert wurden.
  • Zertifikate direkt von OCI-verwalteten untergeordneten CAs mit sicheren KMS-gestützten Schlüsseln ausstellen.
  • Dies schließt die Lücke zwischen Ihren aktuellen PKI-Investitionen und den Automatisierungs- und Skalierbarkeitsvorteilen von OCI.

Zu den Vorteilen zählen:

  • Mehr Flexibilität: Nutzen Sie Ihre vorhandene CA-Infrastruktur, -Richtlinien und -Governance-Modelle in OCI, ohne sie neu zu gestalten.
  • Bessere Interoperabilität: Verbinden Sie hybride Umgebungen mühelos. BYOCA erleichtert die Ausführung verteilter Workloads über On-Premise-, Multi-Cloud- und OCI-Umgebungen.
  • Stärkere Compliance: Die Ausrichtung von BYOCA unterstützt eine strikte Trennung von Aufgabenmodellen, gesetzlichen Anforderungen und Auditanforderungen, während OCI den Betriebslebenszyklus von untergeordneten CAs in einer sicheren, konformen Plattform verwaltet.
  • Geringere Sicherheitsoptionen: Entscheiden Sie, wo Schlüssel gespeichert werden und wie Schlüssel verwaltet werden. Behalten Sie die vollständige Kontrolle über Root-Schlüssel bei, während OCI die operative Belastung von untergeordneten CAs verwaltet.