Oracle Cloud Infrastructure-Dokumentation

Certificate Authority erstellen

Mit dem Certificates-Service können Sie eine Root Certificate Authority (CA) oder eine untergeordnete CA erstellen.

Sie müssen bereits über eine Root-CA verfügen, um eine untergeordnete CA zu erstellen.

Sie benötigen die entsprechende Sicherheitszugriffsebene, um eine CA zu erstellen. Weitere Informationen finden Sie unter Erforderliche IAM-Policy.

Zum Erstellen einer CA benötigen Sie Zugriff auf einen vorhandenen hardwaregeschützten, asymmetrischen Verschlüsselungsschlüssel aus dem Oracle Cloud Infrastructure (OCI) Vault-Service. Weitere Informationen finden Sie unter Überblick über Vault.

Wenn Sie eine CA mit einer Zertifikatsperrliste (CRL) erstellen, können Sie einen OCI-Objektspeicher-Bucket angeben, in dem Sie die CRL speichern möchten. Der Bucket muss beim Erstellen der CA bereits vorhanden sein. Der Bucket muss außerdem ein dedizierter Bucket sein, den Sie weder für andere Zwecke noch zum Speichern der CRL einer anderen CA verwenden.

    1. Wählen Sie auf der Listenseite Certificate Authoritys die Option Certificate Authority erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite benötigen, finden Sie weitere Informationen unter Certificate Authoritys auflisten.
    2. Wählen Sie Compartment und dann das Compartment aus, in dem Sie die CA erstellen möchten.
    3. Wählen Sie unter Certificate Authority-Typ den CA-Typ aus den folgenden Optionen aus:
      • Root Certificate Authority: Die CA ganz oben in der Hierarchie einer CA-Kette.
      • Untergeordnete Certificate Authority: Jede CA, die nicht die Root-CA in einer Hierarchie mit anderen CAs ist.
    4. Geben Sie einen eindeutigen Anzeigenamen für die CA ein. Dieser Name erleichtert die Identifizierung der CA zu administrativen Zwecken, wird jedoch nicht als Teil des CA-Zertifikats angezeigt. Geben Sie dabei keine vertraulichen Informationen ein.
      Hinweis

      Keine zwei CAs im Mandanten können denselben Namen verwenden, einschließlich CAs, deren Löschung aussteht.
    5. (Optional) Geben Sie eine Beschreibung ein, mit der Sie die CA identifizieren können. (Diese Beschreibung unterstützt Sie bei der Identifizierung der CA, wird jedoch nicht als Teil des CA-Zertifikats angezeigt.) Geben Sie dabei keine vertraulichen Informationen ein.
    6. (Optional) Um Tags anzuwenden, wählen Sie Taggingoptionen anzeigen aus. Weitere Informationen zu Tags finden Sie unter Ressourcentags.
    7. Wählen Sie Weiter aus.
    8. Geben Sie Betreffinformationen an. Zu den Subject-Informationen gehört mindestens ein allgemeiner Name zur Identifizierung des Eigentümers des CA-Zertifikats. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Das Format der Subject-Informationen muss den RFC 5280-Standards entsprechen. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.
    9. (Optional) Um weitere Informationen zum Subject der Certificate Authority anzugeben, wählen Sie Zusätzliche Felder anzeigen aus. Einzelheiten zu den einzelnen Werten in einem Subject Distinguished Name finden Sie unter RFC 5280.
    10. Wenn Sie bereit sind, wählen Sie Weiter aus.
    11. (Optional) Wählen Sie Nicht gültig vor aus, und geben Sie die UTC-Zeit und das Datum an, ab dem Sie die CA verwenden möchten. Wenn Sie kein Datum angeben, beginnt der Gültigkeitszeitraum der CA sofort.
    12. Wählen Sie Nicht gültig nach aus, und geben Sie das Datum an, nach dem mit der CA keine untergeordneten CAs oder Zertifikate mehr ausgestellt oder validiert werden können. (Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Sie können kein Datum nach dem 31. Dezember 2037 angeben. Die Werte werden auf die nächste Sekunde aufgerundet.)
    13. Wenn Sie eine untergeordnete CA erstellen, geben Sie unter Ausstellende Certificate Authority eine übergeordnete CA an, um diese CA auszugeben. Wenn Sie eine Root-CA erstellen, fahren Sie mit dem nächsten Schritt fort.
    14. Wählen Sie unter Vault den Vault mit dem Verschlüsselungsschlüssel aus, den Sie für das CA-Zertifikat verwenden möchten. Wählen Sie optional Compartment ändern aus, um ein anderes Compartment anzugeben. Informationen zum Erstellen und Verwalten von Vaults finden Sie unter Vaults verwalten.
    15. Wählen Sie unter Schlüssel den zu verwendenden Schlüssel im Vault aus. Die Liste enthält nur asymmetrische Schlüssel im Vault, weil Certificates nur asymmetrische Schlüssel unterstützt. Sie können aus Rivest-Shamir-Adleman (RSA)-Schlüsseln mit 2.048 Bit oder 4.096 Bit auswählen. Sie können auch Schlüssel für den Verschlüsselungsalgorithmus für die elliptische Kurve (ECDSA) auswählen, die eine ID für die elliptische Kurve NIST_P384 aufweisen. Insbesondere enthält die Liste nur asymmetrische Schlüssel, die durch ein Hardwaresicherheitsmodul (HSM) geschützt sind. Zertifikate unterstützen die Verwendung von softwaregeschützten Schlüsseln nicht. Informationen zum Erstellen und Verwalten von Schlüsseln finden Sie unter Schlüssel verwalten.
    16. Wählen Sie unter Signaturalgorithmus je nach Schlüsselalgorithmusfamilie eine der folgenden Optionen aus:
      • SHA256_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512
      • SHA256_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512

        Wenn Sie bereit sind, wählen Sie Weiter aus.

    17. Konfigurieren Sie die Ablaufregel. Geben Sie unter Maximum Validity Duration for Certificates (Days) die maximale Anzahl von Tagen an, die ein von dieser CA ausgestelltes Zertifikat gültig sein kann. Ein Gültigkeitszeitraum von maximal 90 Tagen wird dringend empfohlen.
    18. Geben Sie unter Maximale Gültigkeitsdauer für unterstellte CA (Tage) die maximale Anzahl von Tagen an, die eine von dieser CA ausgegebene CA für die Ausstellung anderer CAs oder Zertifikate gültig sein kann. Wählen Sie anschließend Weiter aus.
    19. Aktivieren Sie auf der Seite Wahrungskonfiguration das Kontrollkästchen Wahrung überspringen, wenn Sie keine Zertifikatsperrliste (CRL) konfigurieren möchten. Um den Zertifikatswiderruf zu konfigurieren, deaktivieren Sie das Kontrollkästchen, und geben Sie dann einen dedizierten Object Storage-Bucket an, in dem Sie die CRL speichern möchten.
    20. (Optional) Wählen Sie Compartment ändern aus, um einen Bucket in einem anderen Compartment zu suchen.
    21. Geben Sie unter Object Name Format den Objektnamen an. Mit geschweiften Klammern im Objektnamen können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Dadurch wird das Überschreiben vorhandener CRLs verhindert, wenn Sie eine andere CA-Version erstellen. Weitere Informationen zu Objektnamen finden Sie unter Objektnamen.
    22. (Optional) Geben Sie unter Benutzerdefinierte formatierte URLs die URL an, über die Sie mit APIs auf das Objekt zugreifen möchten. Diese URL wird in Zertifikaten als CRL Distribution Point (CDP) bezeichnet. Mit geschweiften Klammern in der URL können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Dadurch wird vermieden, dass eine vorhandene CDP überschrieben wird, wenn Sie eine andere CA-Version erstellen. Sie können eine HTTPS-URL nur angeben, wenn keine zirkulären Abhängigkeiten bei der Prüfung der HTTPS-Kette vorhanden sind.
    23. (Optional) Um eine weitere CDP bereitzustellen, wählen Sie + Weitere URL aus, und geben Sie dann eine andere URL an, über die Benutzer auf die CRL zugreifen können.
    24. Wenn Sie bereit sind, wählen Sie Weiter aus.
    25. Prüfen Sie, ob die Informationen korrekt sind, und wählen Sie Certificate Authority erstellen aus.
      Das Erstellen von Zertifikatsressourcen kann einige Zeit in Anspruch nehmen.

  • Der verwendete Befehl ist davon abhängig, ob Sie eine Root-CA oder eine untergeordnete CA erstellen möchten.

    Verwenden Sie den Befehl oci certs-mgmt cert-authority create-root-ca-by-generating-config-details und die erforderlichen Parameter, um eine Root-CA zu erstellen:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Beispiel:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Um eine untergeordnete CA zu erstellen, verwenden Sie den Befehl oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca und die erforderlichen Parameter:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Beispiel:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateCertificateAuthority aus, um eine CA zu erstellen.