Oracle Cloud Infrastructure-Dokumentation

Zertifikat erstellen

Erstellen Sie ein Zertifikat zur internen Verwaltung, einschließlich des Private Keys des Zertifikats.

Sie benötigen die entsprechende Sicherheitszugriffsebene, um ein Zertifikat zu erstellen. Weitere Informationen finden Sie unter Erforderliche IAM-Policy.

Sie können ein Zertifikat auf verschiedene Weise erstellen, beispielsweise mit dem Certificates-Service, um ein Zertifikat auszustellen und ein Zertifikat zu importieren, das von einer Drittanbieter-Certificate-Authority (CA) ausgestellt wurde. Die Schritte zum Importieren eines Zertifikats finden Sie unter Zertifikat importieren.

Wenn Sie ein Zertifikat ausstellen, können Sie den Private Key intern mit derselben CA generieren und verwalten. Sie können auch eine Certificate Signing Request (CSR) und eine Private Key auf dem Server generieren, auf dem Sie das Zertifikat installieren möchten. Dann können Sie diesen CSR zum Austellen eines Zertifikats an eine CA weiterleiten, während sie den Private Key extern verwalten.

In diesem Thema wird beschrieben, wie Sie ein Zertifikat ausstellen, das Sie intern verwalten möchten. Die Schritte zum Ausstellen eines Zertifikats, das Sie extern mit einer Drittanbieter-CA verwalten, finden sie unter Zertifikat zur äußeren Verwaltung erstellen.

  • Wählen Sie auf der Listenseite Zertifikate die Option Zertifikat erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter Zertifikate auflisten.

    Der Bereich Zertifikat erstellen wird geöffnet.

    Das Erstellen eines Zertifikats besteht aus den folgenden Seiten:

    • Grundlegende Informationen
    • Subject-Informationen
    • Zertifikatskonfiguration
    • Regeln
    • Übersicht

    Führen Sie die folgenden Workflows nacheinander aus. Sie können zu einer vorherigen Seite zurückkehren, indem Sie Zurück auswählen.

    Grundlegende Informationen

    Geben Sie folgende Informationen ein:

    • Name: Geben Sie den Namen des Zertifikats ein. Keine Zertifikate im Mandanten können denselben Namen verwenden, einschließlich Zertifikaten, deren Löschung aussteht.
    • Beschreibung: (Optional) Geben Sie eine Beschreibung für das Zertifikat ein.
    • Compartment: Wählen Sie in der Liste das Compartment aus, in dem sich das Zertifikat befindet.
    • Zertifikatstyp: Wählen Sie eine der folgenden Optionen:
      • Von interner CA ausgestellt: Erstellt ein Zertifikat, das von einer privaten Certificate Authority (CA) des Certificates-Service ausgestellt und verwaltet wird.
      • Von interner CA ausgestellt, extern verwaltet: Erstellt ein Zertifikat, das von einer privaten Certificate Authority des Certificates-Service ausgestellt wurde, die Sie außerhalb des Service verwalten möchten.

    Tagging

    Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

    Wählen Sie Weiter.

    Subject-Informationen

    Auf der Seite Themeninformationen geben Sie einen allgemeinen Namen an, um den Eigentümer des Zertifikats zu identifizieren. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Die Subject-Informationen können auch DNS-Namen oder IP-Adressen als Subject Alternative Names enthalten, die den Zertifikatsinhaber ebenfalls identifizieren. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.

    Geben Sie folgende Informationen ein:

    • Allgemeiner Name: Geben Sie einen allgemeinen Namen ein.
    • Alternative Themennamen: Wählen Sie eine der folgenden Optionen aus, und geben Sie den entsprechenden Wert ein:
      • DNS-Name
      • IP-Adresse

      Wählen Sie Anderer alternativer Subject-Name aus, um einen weiteren DNS-Namen oder eine weitere IP-Adresse hinzuzufügen.

    Weitere Felder

    Auf dieser Seite geben Sie die angeforderten Informationen ein, z.B. den Namen, die Adresse und die Organisationsdaten des Betreffs. Einzelheiten zu den einzelnen Werten in einem Subject Distinguished Name finden Sie unter RFC 5280.

    Wählen Sie Weiter.

    Zertifikatskonfiguration

    Geben Sie folgende Informationen ein:

    • TLS-Server oder -Client: Wählen Sie eine der folgenden Optionen aus der Liste aus:
      • TLS-Server oder -Client: Wird von einem Server bzw. Client für TLS/SSL-Verbindungen verwendet.
      • TLS-Server: Wird von einem Server für TLS/SSL-Verbindungen verwendet.
      • TLS-Client: Wird von einem Client während TLS/SSL-Verbindungen verwendet.
      • TLS-Codesignaturen: Wird von einem Programm zur Validierung seiner Signatur verwendet.
    • Compartment der Aussteller-Certificate-Authority: Wählen Sie das Compartment mit der gewünschten Certificate Authority aus.
    • Aussteller-Certificate Authority: Wählen Sie die gewünschte Certificate Authority aus. Die aufgeführten Certificate Authoritys sind diejenigen, die im ausgewählten Compartment der Aussteller-Certificate Authority enthalten sind.
    • Nicht gültig vor: Geben Sie das Datum (mm/dd/yyyy) ein, oder geben Sie mit dem Kalendertool an, vor welchem Datum das Zertifikat nicht zur Validierung der Identität des Inhabers verwendet werden kann. Wenn Sie kein Datum angeben, beginnt die Gültigkeitsdauer des Zertifikats sofort.
    • Zeit: Geben Sie die Uhrzeit (hh:mm) in UTC für den Tag ein, an dem Sie angegeben haben, dass das Zertifikat vorher nicht gültig ist.
    • Nicht gültig nach: Geben Sie das Datum (mm/dd/yyyy) ein, oder geben Sie mit dem Kalendertool an, nach dem das Zertifikat kein gültiger Nachweis für die Identität des Inhabers mehr ist. Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Das Datum darf nicht nach dem Ablaufdatum der ausstellenden CA liegen.

      Sie kann kein Datum nach dem 31. Dezember 2037 angeben. In der Regel werden Zertifikate für den gesamten Gültigkeitszeitraum verwendet, es sei denn, ein bestimmter Vorgang erfordert einen Widerruf. Der Standardwert beträgt drei Monate, nachdem das Zertifikat erstellt wurde.

    • Zeit: Geben Sie die Uhrzeit (hh:mm) in UTC für den Tag ein, nach dem Sie angegeben haben, dass das Zertifikat nicht mehr gültig ist.
    • Schlüsselalgorithmus: Wählen Sie die Kombination aus Algorithmus und Schlüssellänge aus, die Sie für das Zertifikatschlüsselpaar benötigen. Folgende Optionen stehen zur Verfügung:
      • RSA2048: Rivest-Shamir-Adleman-(RSA-)-2048-Bit-Schlüssel.
      • RSA4096: RSA-4096-Bit-Schlüssel.
      • ECDSA_P256: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit der Kurven-ID P256.
      • ECDSA_P384: ECDSA-Schlüssel mit der Kurven-ID P384.

    Zusätzliche Felder anzeigen

    Signaturalgorithmus: (Optional) Wählen Sie je nach ausgewählter Certificate Authority einen der folgenden Signaturalgorithmen aus:

    • SHA256_WITH_RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel mit Hashfunktion SHA-256.
    • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384.
    • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512.
    • SHA256_WITH_ECDSA: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit Hashfunktion SHA-256.
    • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384.
    • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512.

    Wählen Sie Weiter.

    Regeln

    Auf der Seite Regeln wählen Sie die Einstellungen der Erneuerungsregel aus. Um maximale Flexibilität zu gewährleisten, verlängern Sie das Zertifikat vor Ablauf seiner Gültigkeitsdauer und bei Ausfällen mit genügend voraussichtlicher Verlängerungszeit. Ein Zertifikat, das abläuft, bevor der Service es erfolgreich erneuern kann, kann zu Serviceunterbrechungen führen.

    • Erneuerungsintervall (Tage): Geben Sie die Anzahl der Tage an, nach denen die Regel erneuert wird.
    • Verlängerungszeitraum (Tage): Geben Sie die Anzahl der Tage an, nach denen das Zertifikat erneuert wird.

    Wählen Sie Weiter.

    Übersicht

    Prüfen Sie den Inhalt der Seite Übersicht. Wählen Sie Bearbeiten aus, um Informationen auf der zugehörigen Seite hinzuzufügen oder zu ändern. Wenn die Einstellungen vollständig verifiziert sind, wählen Sie Zertifikat erstellen aus.

    Das von Ihnen erstellte Zertifikat wird auf der Listenseite Zertifikate angezeigt.

  • Verwenden Sie den Befehl oci certs-mgmt certificate create-certificate-issued-by-internal-ca und die erforderlichen Parameter, um ein Zertifikat zu erstellen:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Beispiel:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateCertificate aus, um ein Zertifikat zu erstellen, das Sie intern verwalten möchten.