Oracle Cloud Infrastructure-Dokumentation

Certificate Authority erstellen

Verwenden Sie den Certificates-Service, um eine Root Certificate Authority (CA) oder eine untergeordnete Certificate Authority zu erstellen.

Sie benötigen bereits eine Root Certificate Authority, um eine untergeordnete Certificate Authority erstellen zu können.

Sie benötigen die entsprechende Sicherheitszugriffsebene, um eine Certificate Authority erstellen zu können. Weitere Informationen finden Sie unter Erforderliche IAM-Policy.

Zum Erstellen einer Certificate Authority benötigen Sie Zugriff auf einen vorhandenen hardwaregeschützten, asymmetrischen Verschlüsselungsschlüssel aus dem Oracle Cloud Infrastructure-(OCI-)Vault-Service. Weitere Informationen finden Sie unter Überblick über Vault.

Wenn Sie eine Certificate Authority mit einer Zertifikatswiderrufliste (CRL) erstellen, können Sie einen OCI Object Storage-Bucket angeben, in dem Sie die CRL speichern möchten. Der Bucket muss beim Erstellen der Certificate Authority bereits vorhanden sein Der Bucket muss außerdem ein dedizierter Bucket sein, den Sie weder für andere Zwecke, noch zum Speichern der CRL einer anderen Certificate Authority verwenden.

  • Wählen Sie auf der Listenseite Certificate Authoritys die Option Certificate Authority erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite oder der Certificate Authority benötigen, lesen Sie Certificate Authoritys auflisten.

    Der Bereich Certificate Authority erstellen wird geöffnet.

    Das Erstellen einer Certificate Authority umfasst die folgenden Seiten:

    • Grundlegende Informationen
    • Subject-Informationen
    • Authority-Konfiguration
    • Regeln
    • Widerrufkonfiguration
    • Übersicht

    Führen Sie die folgenden Workflows nacheinander aus. Sie können zu einer vorherigen Seite zurückkehren, indem Sie Zurück auswählen.

    Grundlegende Informationen

    Geben Sie folgende Informationen ein:

    • Name: Geben Sie den Namen des Zertifikats ein. Keine Certificate Authoritys im Mandanten können denselben Namen verwenden, einschließlich Certificate Authoritys mit ausstehender Löschung.
    • Beschreibung: (Optional) Geben Sie eine Beschreibung für die Certificate Authority ein.
    • Compartment: Wählen Sie in der Liste das Compartment aus, in dem sich die Certificate Authority befindet.
    • Zertifikatsautoritätstyp: Wählen Sie eine der folgenden Optionen:
      • Root Certificate Authority: Erstellt eine Certificate Authority (Certificate Authority), die digitale Zertifikate ausgibt und deren Widerruf verwaltet. Eine Certificate Authority enthält in der Regel andere Certificate Authoritys mit definierten Beziehungen zwischen über- und untergeordneten Elementen. Die Certificate Authority oben in einer Hierarchie wird als Root Certificate Authority bezeichnet.
      • Untergeordnete Certificate Authority: Erstellt eine untergeordnete Certificate Authority, die eine Zwischenentity in einer Hierarchie aus anderen Entitys ist, die digitale Zertifikate ausstellt.
      • Untergeordnete Certificate Authority: Externe CA ausgestellt, intern verwaltet: Erstellt eine untergeordnete Certificate Authority, die von der externen Root Certificate Authority ausgestellt, aber intern (gespeicherte Schlüssel) im OCI-Hardwaresicherheitsmodul (HSM) verwaltet wird. Erstellen Sie hier eine Zertifikatssignieranforderung, und schließen Sie die Ausstellung über Ihre externe Certificate Authority ab.

    Tagging

    Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

    Wählen Sie Weiter.

    Subject-Informationen

    Auf der Seite Themeninformationen gehört mindestens ein allgemeiner Name zur Identifizierung des Eigentümers des Zertifikats der Certificate Authority. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Das Format der Subject-Informationen muss den RFC 5280-Standards entsprechen. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.

    Geben Sie folgende Informationen ein:

    • Allgemeiner Name: Geben Sie einen allgemeinen Namen ein.

    Weitere Felder

    Auf dieser Seite geben Sie die angeforderten Informationen ein, z.B. den Namen, die Adresse und die Organisationsdaten des Betreffs. Einzelheiten zu den einzelnen Werten in einem Subject Distinguished Name finden Sie unter RFC 5280.

    Wählen Sie Weiter.

    Authority-Konfiguration

    Geben Sie folgende Informationen ein:

    • Compartment der Aussteller-Certificate Authority: (Nur untergeordnete Certificate Authority) Wählen Sie das Compartment mit der übergeordneten Certificate Authority aus, die Sie für die zu erstellende untergeordnete Certificate Authority ausgeben möchten.
    • Aussteller-Certificate Authority: (Nur untergeordnete Certificate Authority) Wählen Sie die gewünschte untergeordnete Certificate Authority aus. Die aufgeführten untergeordneten Certificate Authoritys sind diejenigen, die im ausgewählten Compartment der Aussteller-Certificate-Authority enthalten sind. Wenn Sie Untergeordnete Certificate Authority: Externe CA ausgestellt, Intern verwaltet als CA-Typ ausgewählt haben, stellen Sie sicher, dass Sie Ihre externe Root als übergeordnete RootCA auswählen.
    • Nicht gültig vor: Geben Sie das Datum (mm/dd/yyyy) ein, oder geben Sie mit dem Kalendertool an, vor welchem Datum die Certificate Authority nicht zur Validierung der Identität des Bearers verwendet werden kann. Wenn Sie kein Datum angeben, beginnt die Gültigkeitsdauer der Zertifikatsautorität sofort.
    • Zeit: Geben Sie die Uhrzeit (hh:mm) in UTC für den Tag ein, an dem Sie angegeben haben, dass die Certificate Authority vorher nicht gültig ist.
    • Nicht gültig nach: Geben Sie das Datum (mm/dd/yyyy) ein, oder verwenden Sie das Kalendertool, um anzugeben, nach dem die Certificate Authority keinen gültigen Nachweis der Identität des Inhabers mehr hat. Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Das Datum darf nicht vor dem Ablaufdatum der ausstellenden Zertifizierungsstelle liegen.

      Sie kann kein Datum nach dem 31. Dezember 2037 angeben. In der Regel werden Certificate Authoritys während ihres gesamten Gültigkeitszeitraums verwendet, es sei denn, ein bestimmter Vorgang erfordert einen Widerruf. Der Standardwert beträgt drei Monate, nachdem die Certificate Authority erstellt wurde.

    • Zeit: Geben Sie die Uhrzeit (hh:mm) in UTC für den Tag ein, an dem Sie angegeben haben, dass die Certificate Authority nicht mehr gültig ist.
    • Vault in Compartment: Wählen Sie das Compartment aus, das den Vault enthält, der den Verschlüsselungsschlüssel enthält, den Sie für das Certificate Authority-Zertifikat verwenden möchten.
    • Vault in: Wählen Sie den Vault mit dem Verschlüsselungsschlüssel aus, den Sie für das Certificate Authority-Zertifikat verwenden möchten. Die aufgeführten Vaults sind die Vaults, die im ausgewählten Vault Compartment enthalten sind.
    • Schlüssel in Compartment: Wählen Sie das Compartment aus, das den Verschlüsselungsschlüssel in dem Vault enthält, den Sie für das Certificate Authority-Zertifikat verwenden möchten.
    • Key in: Wählen Sie den Schlüssel aus, den Sie verwenden möchten. Die Liste enthält nur asymmetrische Schlüssel im Vault, weil Certificates nur asymmetrische Schlüssel unterstützt. Sie können aus Rivest-Shamir-Adleman (RSA)-Tasten wählen, die 2.048 Bit oder 4.096 Bit umfassen.

      Sie können auch Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit der ID der elliptischen Kurve NIST_P384 auswählen. Die Liste enthält nur diese asymmetrischen Schlüssel, die durch ein Hardwaresicherheitsmodul (HSM) geschützt sind. Zertifikate unterstützen nicht die Verwendung von softwaregeschützten Schlüsseln. Informationen zum Erstellen und Verwalten von Schlüsseln finden Sie unter Managing Keys.

    • Signaturalgorithmus: Wählen Sie je nach Schlüsselalgorithmusfamilie eine der folgenden Optionen aus:
      • SHA256_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-256.
      • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384.
      • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512.
      • SHA256_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-256.
      • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384.
      • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512.

    Wählen Sie Weiter.

    Regeln

    Auf der Seite Regeln konfigurieren Sie Regeln, um Constraints auf diese Certificate Authority und die von ihr ausgestellten Ressourcen anzuwenden.

    Ablaufregel

    Sie können angeben, wie lange ein Zertifikat oder eine von diesem Zertifikat ausgestellte untergeordnete Certificate Authority maximal gültig ist. Änderungen gelten nur für neue Zertifikate und untergeordnete Certificate Authoritys, die Sie nach dem Vornehmen der Änderungen ausstellen.

    Aktivieren Sie die Ablaufregel, um die folgenden Einstellungen zu konfigurieren:

    • Maximale Gültigkeitsdauer für Zertifikate (Tage): Geben Sie an, wie lange jedes von dieser Certificate Authority ausgegebene Zertifikat maximal gültig sein kann.
    • Maximale Gültigkeitsdauer für untergeordnete CA (Tage): Geben Sie die maximale Anzahl der Tage an, die eine von dieser CA ausgestellte CA zur Ausstellung anderer CAs oder Zertifikate gültig sein kann. Der empfohlene Wert beträgt 1095 Tage (3 Jahre).

    Ausstellungsregel

    Sie können Ausgaberegeln angeben, um bestimmte Bedingungen für die Ressourcen durchzusetzen, die von dieser Certificate Authority ausgegeben werden. Eine Pfadlängenbeschränkung schränkt ein, wie viele untergeordnete Certificate Authoritys eine Certificate Authority haben kann. Ein Namens-Constraint für Zertifikats-Subject-Namen gibt zulässige Namespaces für die hierarchischen Namensformulare in Zertifikaten an, die von einer Certificate Authority in dieser Zertifikatskette ausgegeben werden. Ausstellungsregeln können später nicht aktualisiert werden.

    Aktivieren Sie die Ausgaberegel, um die folgenden Einstellungen zu konfigurieren:

    • Pfadlängen-Constraint: Wählen Sie die maximale Länge (0–10) für untergeordnete CAs aus.
    • Ausgeschlossene Unterbäume: Geben Sie den Typ und den Wert an, um bestimmte Namespaces zu blockieren. Wählen Sie Ausgeschlossenen Unterbaum hinzufügen aus, um einen weiteren Eintrag zu erstellen.
    • Zulässige Unterbäume: Geben Sie den Typ und Wert an, um bestimmte Namespaces zuzulassen. Wählen Sie Zulässigen Unterbaum hinzufügen aus, um einen weiteren Eintrag zu erstellen.

    Wählen Sie Weiter.

    Widerrufkonfiguration

    Auf der Seite Revocation-Konfiguration können Sie einen Speicherort für die Veröffentlichung einer Zertifikatsperrliste (CRL) konfigurieren. Eine CRL gibt die Versionen einer Certificate Authority oder eines Zertifikats an, die vor Ablauf ihrer Gültigkeitsdauer nicht mehr vertrauenswürdig und ungültig sind. Sie können entweder eine CRL in einem Object Storage-Bucket speichern oder eine benutzerdefinierte formatierte URL als CRL-Verteilungspunkt angeben. Die Widerrufseinstellungen können jederzeit aktualisiert werden.

    Aktivieren Sie Widerruf, um die folgenden Einstellungen zu konfigurieren:

    • Object Storage-Bucket-Compartment: Wählen Sie das Compartment mit dem Object Storage-Bucket aus, in dem Sie eine CRL speichern können.
    • Objektspeicher-Bucket: Wählen Sie den gewünschten Objektspeicher-Bucket aus. Die angezeigten Buckets sind die Buckets, die im ausgewählten Compartment enthalten sind.
    • Objektnamensformat: Geben Sie den Objektnamen ein. Mit geschweiften Klammern im Objektnamen können Sie angeben, wo der Service die Versionsnummer der ausstellenden Certificate Authority einfügen kann. Dadurch wird verhindert, dass eine vorhandene CRL überschrieben wird, wenn Sie eine andere Certificate-Authority-Version erstellen. Weitere Informationen zu Objektnamen finden Sie unter Objektnamen.

    Benutzerdefinierte formatierte URLs

    Geben Sie die URL ein, die Sie mit APIs für den Zugriff auf das Objekt verwenden möchten. Diese URL wird in Zertifikaten als CRL Distribution Point (CDP) bezeichnet. Sie können geschweifte Klammern in die URL aufnehmen, um anzugeben, wo der Service die Versionsnummer der ausstellenden Certificate Authority einfügen kann. Dadurch wird vermieden, dass ein vorhandenes CDP überschrieben wird, wenn Sie eine andere Certificate-Authority-Version erstellen. Sie können eine HTTPS-URL nur angeben, wenn bei der Prüfung der HTTPS-Kette keine zirkulären Abhängigkeiten bestehen.

    Um ein weiteres CDP bereitzustellen, wählen Sie + Weitere URL aus, und geben Sie dann eine andere URL an, über die Benutzer auf die CRL zugreifen können.

    Wählen Sie Weiter.

    Übersicht

    Prüfen Sie den Inhalt der Seite Übersicht. Wählen Sie Bearbeiten aus, um Informationen auf der zugehörigen Seite hinzuzufügen oder zu ändern. Wenn die Einstellungen vollständig verifiziert sind, wählen Sie Certificate Authority erstellen aus.

    Die von Ihnen erstellte Certificate Authority wird auf der Listenseite Certificate Authorities angezeigt.

  • Der verwendete Befehl ist davon abhängig, ob Sie eine Root-Certificate Authority oder eine untergeordnete Certificate Authority erstellen möchten.

    Verwenden Sie den Befehl oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details und die erforderlichen Parameter, um eine Root Certificate Authority zu erstellen:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Beispiel:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>

    Um eine untergeordnete Certificate Authority zu erstellen, verwenden Sie den Befehl oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca und die erforderlichen Parameter:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Beispiel:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateCertificateAuthority aus, um eine Certificate Authority zu erstellen.