Oracle Cloud Infrastructure-Dokumentation

Untergeordnete Certificate Authority ausstellen

Geben Sie eine untergeordnete Certificate Authority (CA) aus.

Sie benötigen bereits eine Root-CA in Oracle Cloud Infrastructure Certificates, um eine untergeordnete CA zu erstellen. Sie können eine unterstellte CA von jeder anderen CA ausgeben, solange Sie die zulässige Gesamtanzahl der CAs im Mandanten nicht überschreiten.

Zum Erstellen einer CA benötigen Sie Zugriff auf einen vorhandenen hardwaregeschützten, asymmetrischen Verschlüsselungsschlüssel aus dem Oracle Cloud Infrastructure Vault-Service. Weitere Informationen finden Sie unter Überblick über Vault.

Wenn Sie eine CA mit einer Zertifikatsperrliste (CRL) erstellen, können Sie einen OCI-Objektspeicher-Bucket angeben, in dem Sie die CRL speichern möchten. Der Bucket muss beim Erstellen der CA bereits vorhanden sein.

    1. Wählen Sie auf der Listenseite Certificate Authoritys den Namen der CA aus, von der aus Sie eine untergeordnete CA ausstellen möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite benötigen, finden Sie weitere Informationen unter Certificate Authoritys auflisten.

      Um eine CA in einem anderen Compartment zu suchen, wählen Sie unter Listengeltungsbereich ein anderes Compartment aus.

    2. Wählen Sie unter Ressourcen die Option Untergeordnete Certificate Authoritys aus.
    3. Wählen Sie Untergeordnete Certificate Authority ausgeben aus.
    4. Wählen Sie unter Compartment das Compartment aus, in dem Sie die CA erstellen möchten.
    5. Geben Sie einen eindeutigen Anzeigenamen für die CA ein. Dieser Name erleichtert die Identifizierung der CA zu administrativen Zwecken, wird jedoch nicht als Teil des CA-Zertifikats angezeigt. Geben Sie dabei keine vertraulichen Informationen ein.
      Hinweis

      Keine zwei CAs im Mandanten können denselben Namen verwenden, einschließlich CAs, deren Löschung aussteht.
    6. (Optional) Geben Sie eine Beschreibung ein, mit der Sie die CA identifizieren können. Diese Beschreibung unterstützt Sie bei der Identifizierung der CA, wird jedoch nicht als Teil des CA-Zertifikats angezeigt. Geben Sie dabei keine vertraulichen Informationen ein.
    7. (Optional) Um Tags anzuwenden, wählen Sie Taggingoptionen anzeigen aus. Weitere Informationen zu Tags finden Sie unter Ressourcentags.
    8. Wenn Sie bereit sind, wählen Sie Weiter aus.
    9. Geben Sie Themeninformationen an. Zu den Subject-Informationen gehört mindestens ein allgemeiner Name zur Identifizierung des Eigentümers des CA-Zertifikats. Je nach beabsichtigter Verwendung des Zertifikats kann das Subject eine Person, eine Organisation oder einen Computerendpunkt identifizieren. Sie können Platzhalter verwenden, um ein Zertifikat für mehrere Domain- oder Subdomainnamen auszustellen.
    10. (Optional) Um weitere Informationen zum Subject der Certificate Authority anzugeben, wählen Sie Zusätzliche Felder anzeigen aus. Einzelheiten zu den einzelnen Werten in einem Subject Distinguished Name finden Sie unter RFC 5280. Wählen Sie anschließend Weiter aus.
    11. (Optional) Wählen Sie Nicht gültig vor aus, und geben Sie die UTC-Zeit und das Datum an, ab dem Sie die CA verwenden möchten. Wenn Sie kein Datum angeben, beginnt der Gültigkeitszeitraum der CA sofort.
    12. Wählen Sie Nicht gültig nach aus, und geben Sie das Datum an, nach dem mit der CA keine untergeordneten CAs oder Zertifikate mehr ausgestellt oder validiert werden können. (Das Datum muss mindestens einen Tag nach dem Startdatum des Gültigkeitszeitraums liegen. Sie können kein Datum nach dem 31. Dezember 2037 angeben. Die Werte werden auf die nächste Sekunde aufgerundet.)
    13. Wählen Sie unter Vault den Vault mit dem Verschlüsselungsschlüssel aus, den Sie für das CA-Zertifikat verwenden möchten. Wählen Sie bei Bedarf Compartment ändern aus, um ein anderes Compartment anzugeben.
    14. Wählen Sie unter Schlüssel den zu verwendenden Schlüssel im Vault aus. Die Liste enthält nur asymmetrische Schlüssel im Vault, weil Certificates nur asymmetrische Schlüssel unterstützt. Darüber hinaus enthält die Liste nur Schlüssel aus der Schlüsselalgorithmusfamilie des Schlüssels, den die übergeordnete CA verwendet. Sie können aus Rivest-Shamir-Adleman (RSA)-Schlüsseln mit 2.048 Bit oder 4.096 Bit auswählen. Sie können auch Schlüssel für den Verschlüsselungsalgorithmus für die elliptische Kurve (ECDSA) auswählen, die eine ID für die elliptische Kurve NIST_P384 aufweisen. Insbesondere enthält die Liste nur asymmetrische Schlüssel, die durch ein Hardwaresicherheitsmodul (HSM) geschützt sind. Zertifikate unterstützen die Verwendung von softwaregeschützten Schlüsseln nicht. Informationen zum Erstellen und Verwalten von Schlüsseln finden Sie unter Schlüssel verwalten.
    15. Wählen Sie Signaturalgorithmus aus, und wählen Sie je nach Schlüsselalgorithmusfamilie eine der folgenden Optionen aus:
      • SHA256_WITH_RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_RSA: RSA-Schlüssel mit Hashfunktion SHA-512
      • SHA256_WITH_ECDSA: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel mit Hashfunktion SHA-256
      • SHA384_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-384
      • SHA512_WITH_ECDSA: ECDSA-Schlüssel mit Hashfunktion SHA-512

        Wenn Sie bereit sind, wählen Sie Weiter aus.

    16. Konfigurieren Sie die Ablaufregel. Geben Sie unter Maximum Validity Duration for Certificates (Days) die maximale Anzahl von Tagen an, die ein von dieser CA ausgestelltes Zertifikat gültig sein kann. Ein Gültigkeitszeitraum von maximal 90 Tagen wird dringend empfohlen.
    17. Geben Sie unter Maximale Gültigkeitsdauer für unterstellte CA (Tage) die maximale Anzahl von Tagen an, die eine von dieser CA ausgegebene CA für die Ausstellung anderer CAs oder Zertifikate gültig sein kann. Wählen Sie anschließend Weiter aus.
    18. Aktivieren Sie auf der Seite Wahrungskonfiguration das Kontrollkästchen Wahrung überspringen, wenn Sie keine Zertifikatsperrliste (CRL) konfigurieren möchten. Um den Zertifikatswiderruf zu konfigurieren, deaktivieren Sie das Kontrollkästchen, und geben Sie dann einen Object Storage-Bucket an, in dem Sie die CRL speichern möchten. Wählen Sie bei Bedarf Compartment ändern aus, um einen Bucket in einem anderen Compartment zu suchen.
    19. Geben Sie unter Object Name Format den Objektnamen an. Mit geschweiften Klammern im Objektnamen können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Dadurch wird das Überschreiben vorhandener CRLs verhindert, wenn Sie eine andere CA-Version erstellen. Weitere Informationen zu Objektnamen finden Sie unter Objektnamen.
    20. (Optional) Wählen Sie Benutzerdefinierte formatierte URLs aus, und geben Sie die URL an, über die Sie mit APIs auf das Objekt zugreifen möchten. Diese URL wird in Zertifikaten als CRL Distribution Point (CDP) bezeichnet. Mit geschweiften Klammern in der URL können Sie angeben, wo der Service die Versionsnummer der ausstellenden CA einfügen kann. Dadurch wird das Überschreiben vorhandener CDPs verhindert, wenn Sie eine andere CA-Version erstellen. (Sie können eine HTTPS-URL nur angeben, wenn bei der Prüfung der HTTPS-Kette keine zirkulären Abhängigkeiten bestehen.)
    21. (Optional) Um eine weitere CDP bereitzustellen, wählen Sie + Weitere URL aus, und geben Sie dann eine andere URL an, über die Benutzer auf die CRL zugreifen können.
    22. Wenn Sie bereit sind, wählen Sie Weiter aus.
    23. Prüfen Sie, ob die Informationen korrekt sind, und wählen Sie Certificate Authority erstellen aus.
      Das Erstellen von Zertifikatsressourcen kann einige Zeit in Anspruch nehmen.

  • Verwenden Sie den Befehl oci certs-mgmt cert-authority create-subordinate-ca-issued-by-internal-ca und die erforderlichen Parameter, um eine untergeordnete CA auszugeben:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Beispiel:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateCertificateAuthority aus, um eine untergeordnete CA auszugeben.