Oracle Cloud Infrastructure-Dokumentation

Zertifikat erstellen

Erstellen Sie ein Zertifikat zur internen Verwaltung, einschließlich des Private Keys des Zertifikats.

Sie benötigen die entsprechende Sicherheitszugriffsebene, um ein Zertifikat zu erstellen. Weitere Informationen finden Sie unter Erforderliche IAM-Policy.

Sie können ein Zertifikat auf mehrere Arten erstellen, indem Sie beispielsweise mit dem Certificates-Service ein Zertifikat ausstellen und ein Zertifikat importieren, das von einer externen Certificate Authority (CA) ausgestellt wurde. Die Schritte zum Importieren eines Zertifikats finden Sie unter Zertifikat importieren.

Mehrere Möglichkeiten zur Verwaltung eines Zertifikats wirken sich auch auf den Erstellungsprozess aus. Wenn Sie ein Zertifikat ausstellen, können Sie den Private Key intern mit derselben CA generieren und verwalten. Sie können auch einen Zertifikatssignier-Request (CSR) und einen Private Key auf dem Server generieren, auf dem Sie das Zertifikat installieren möchten. Diesen CSR können Sie beim externen Verwalten des Private Keys an eine CA weiterleiten, um ein Zertifikat auszustellen. In dieser Aufgabe wird beschrieben, wie Sie ein Zertifikat ausstellen, das Sie intern verwalten möchten. Die Schritte zum Ausstellen eines Zertifikats, das Sie extern mit einer Drittanbieter-CA verwalten, finden Sie unter Zertifikat zur externen Verwaltung erstellen.

    1. Wählen Sie auf der Listenseite Zertifikate die Option Zertifikat erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite benötigen, finden Sie weitere Informationen unter Zertifikate auflisten.
    2. Wählen Sie unter Compartment das Compartment aus, in dem Sie das Zertifikat erstellen möchten. Das Zertifikat kann in demselben Compartment wie die CA oder in einem anderen Compartment vorhanden sein.
    3. Wählen Sie unter Zertifikatstyp die Option Von interner CA ausgestellt aus, um ein Zertifikat einer CA des Certificates-Service auszusetzen, die das Zertifikat dann auch verwaltet.
    4. Geben Sie einen eindeutigen Anzeigenamen für das Zertifikat ein. Geben Sie dabei keine vertraulichen Informationen ein.
      Hinweis

      Keine zwei Zertifikate im Mandanten können denselben Namen verwenden, einschließlich Zertifikate, deren Löschung aussteht.
    5. (Optional) Geben Sie eine Beschreibung ein, mit der Sie das Zertifikat identifizieren können. Geben Sie dabei keine vertraulichen Informationen ein.
    6. (Optional) Um Tags anzuwenden, wählen Sie Taggingoptionen anzeigen aus. Weitere Informationen zu Tags finden Sie unter Ressourcentags.
    7. Wählen Sie Weiter aus.
    8. Geben Sie Themeninformationen an. Zu den Subject-Informationen gehört ein allgemeiner Name zur Identifizierung des Eigentümers des Zertifikats. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Die Subject-Informationen können auch DNS-Namen oder IP-Adressen als Subject Alternative Names enthalten, die den Zertifikatsinhaber ebenfalls identifizieren. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.
    9. (Optional) Um weitere Subject-Alternativnamen hinzuzufügen, wählen Sie + Weiterer Subject-Alternativname aus, wählen Sie den Adresstyp aus, und geben Sie den Namen ein. Wählen Sie anschließend Weiter aus.
    10. Wählen Sie je nach beabsichtigter Verwendung des Zertifikats einen Zertifikatsprofiltyp aus den folgenden Profilen:
      • TLS-Server oder -Client: Wird von einem Server oder Client für TLS/SSL-Verbindungen verwendet.
      • TLS-Server: Wird von einem Server für TLS/SSL-Verbindungen verwendet.
      • TLS-Client: Wird von einem Client während TLS/SSL-Verbindungen verwendet.
      • TLS-Codesignatur: Wird von einem Programm zur Validierung seiner Signatur verwendet.
    11. Um die CA zu ändern, die das Zertifikat ausstellt, wählen Sie Ausgebende Certificate Authority aus, und wählen Sie eine CA aus. Wählen Sie bei Bedarf Compartment ändern aus, und wählen Sie ein anderes Compartment aus, wenn sich die CA in einem anderen als dem für das Zertifikat ausgewählten Compartment befindet.
    12. (Optional) Wählen Sie Nicht gültig vor aus, und geben Sie ein Datum ein, vor dem das Zertifikat nicht zur Validierung der Identität des Inhabers verwendet werden kann. Wenn Sie kein Datum angeben, beginnt der Zertifikatsgültigkeitszeitraum sofort. Die Werte werden auf die nächste Sekunde aufgerundet.
    13. Wählen Sie Nicht gültig nach aus, und ändern Sie das Datum, nach dem das Zertifikat kein gültiger Nachweis für die Identität des Inhabers mehr ist. Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Das Datum darf nicht nach dem Ablaufdatum der ausstellenden CA liegen. Sie können außerdem kein Datum nach dem 31. Dezember 2037 angeben. Die Werte werden auf die nächste Sekunde aufgerundet. In der Regel werden Zertifikate während ihres gesamten Zeitraums verwendet, es sei denn, ein bestimmter Vorgang erfordert einen Widerruf.
    14. Wählen Sie unter Schlüsselalgorithmus die Kombination aus Algorithmus und Schlüssellänge für das Zertifikatschlüsselpaar aus den folgenden Optionen aus:
      • RSA2048: Rivest-Shamir-Adleman-(RSA-)-2048-Bit-Schlüssel
      • RSA4096: RSA-4096-Bit-Schlüssel
      • ECDSA_P256: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit der Kurven-ID P256
      • ECDSA_P384: ECDSA-Schlüssel mit der Kurven-ID P384
    15. (Optional) Wählen Sie Zusätzliche Felder anzeigen aus, und wählen Sie unter Signaturalgorithmus je nach Schlüssel einen der folgenden Signaturalgorithmen aus:
      • SHA256_WITH_RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512
      • SHA256_WITH_ECDSA: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512

        Wenn Sie bereit sind, wählen Sie Weiter aus.

    16. Um die automatische Zertifikaterneuerung zu konfigurieren und so eine Unterbrechung der Verwendung zu vermeiden, geben Sie einen Wert ungleich Null für die folgenden Einstellungen an:
      • Erneuerungsintervall (Tage): Häufigkeit der Erneuerung des Zertifikats
      • Periode für vorzeitige Erneuerung (Tage): Anzahl der Tage vor Ablauf des Zertifikats, nach denen die Erneuerung erfolgt
      Für maximale Flexibilität erneuern Sie das Zertifikat vor Ablauf der Gültigkeitsdauer und bei Ausfällen mit genügend Zeit für die Verlängerung. Ein Zertifikat, das abläuft, bevor der Service erfolgreich erneuert werden kann, kann zu Serviceunterbrechungen führen.
      Wenn Sie bereit sind, wählen Sie Weiter aus.
    17. Stellen Sie sicher, dass die Informationen korrekt sind, und wählen Sie Zertifikat erstellen aus.
      Das Erstellen von Zertifikatsressourcen kann einige Zeit in Anspruch nehmen.

  • Verwenden Sie den Befehl oci certs-mgmt certificate create-certificate-issued-by-internal-ca und die erforderlichen Parameter, um ein vom Certificates-Service ausgestelltes Zertifikat zu erstellen:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Beispiel:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Eine vollständige Liste der Flaggen und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateCertificate aus, um ein Zertifikat zu erstellen, das Sie intern verwalten möchten.