Untergeordnete Certificate Authority ausstellen
Erstellen Sie eine untergeordnete Certificate Authority (CA).
Um eine untergeordnete Certificate Authority zu erstellen, benötigen Sie bereits eine Root Certificate Authority in Oracle Cloud Infrastructure Certificates. Sie können eine untergeordnete Certificate Authority von einer anderen Certificate Authority ausstellen, solange Sie die zulässige Gesamtzahl der Certificate Authoritys im Mandanten nicht überschreiten.
Zum Erstellen einer Certificate Authority benötigen Sie Zugriff auf einen vorhandenen hardwaregeschützten, asymmetrischen Verschlüsselungsschlüssel aus dem Oracle Cloud Infrastructure Vault-Service. Weitere Informationen finden Sie unter Überblick über Vault.
Wenn Sie eine Certificate Authority mit einer Zertifikatswiderrufliste (CRL) erstellen, können Sie einen OCI Object Storage-Bucket angeben, in dem Sie die CRL speichern möchten. Der Bucket muss beim Erstellen der Certificate Authority bereits vorhanden sein
Geben Sie eine untergeordnete Certificate Authority basierend auf Ihrem Zertifikatstyp aus.
Untergeordnete CA für intern erstellte CA ausstellen
Verwenden Sie den Befehl oci certs-mgmt cert-authority create-subordinate-ca-issued-by-internal-ca und die erforderlichen Parameter, um eine untergeordnete CA auszugeben:
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>Beispiel:
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.
Untergeordnete CA für eine extern erstellte CA ausstellen
Verwenden Sie den Befehl
create-subordinate-ca-managed-internally-issued-by-external-caund die erforderlichen Parameter, um eine untergeordnete CA auszugeben:oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca --issuer-certificate-authority-id <your_certificate_authority_id> --subject '{ <your_json_data> }' --compartment-id <your-compartment-id> --name <your_certificate_authority_name> --kms-key-id <your_kms_id>Beispiel:
oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca \ --issuer-certificate-authority-id ocid1.certificateauthority.oc1.us-sanjose-1.amaaaaaaxkd4eg... \ --subject '{ "commonName": "Example-CN-SubCA-From-ExternalRootCA" }' \ --compartment-id ocid1.compartment.oc1..aaaaaaaa7zl... \ --name Example_Subbordinate_CA \ --kms-key-id ocid1.key.oc1.us-sanjose-1.grtxobgpaaf7...Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.
Führen Sie den Vorgang CreateCertificateAuthority aus, um eine untergeordnete Certificate Authority auszugeben.