Certificate Authoritys verwalten
Mit Certificates können Sie die Certificate Authoritys erstellen und verwalten, die digitale Zertifikate ausstellen.
Die Verwaltung von Certificate Authoritys (CAs) umfasst folgende Aufgaben:
- Certificate Authoritys auflisten
- Certificate Authority erstellen
- Untergeordnete Certificate Authority ausstellen
- Details einer Certificate Authority anzeigen
- Certificate Authority bearbeiten
- Zertifikatswiderrufliste bearbeiten
- Certificate-Authority-Regeln bearbeiten
- Verknüpfungen einer Certificate Authority anzeigen
- Certificate Authority erneuern
- Certificate Authority verschieben
- Certificate Authority löschen
- Löschen von Certificate Authority abbrechen
Jede CA verfügt über mindestens eine CA-Version. Die CA-Verwaltung umfasst daher auch die folgenden spezifischen Aufgaben für CA-Versionen:
- Certificate-Authority-Versionen auflisten
- Details einer Certificate-Authority-Version anzeigen
- Bundles einer Certificate-Authority-Version anzeigen
- Certificate-Authority-Version als aktuelle Version festlegen
- Certificate-Authority-Version entziehen (nur für untergeordnete CAs unterstützt)
- Certificate-Authority-Version löschen
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure verwenden zu können, muss Ihnen von einem Administrator Sicherheitszugriff in einer Policy (IAM) erteilt werden. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen zugewiesen wurde und in welchem Compartment Sie arbeiten sollen.
Bei einigen Vorgängen erfordert der Certificates-Service auch, dass Ressourcen über Sicherheitszugriff verfügen, der von Policys für Benutzer oder Gruppen nicht erteilt wird. In diesem Abschnitt wird beschrieben, wie Sie Benutzer und Ressourcen autorisieren, die andere Ressourcen bearbeiten müssen.
Schritt 1: Dynamische Gruppe erstellen
resource.type='certificateauthority'Diese Übereinstimmungsregel definiert eine dynamische Gruppe, die alle CAs als Mitglieder enthält. Sie benötigen diese dynamische Gruppe, um CAs zur Ausführung von API-Aufrufen für andere Services nach Bedarf zu autorisieren. CAs benötigen in der Regel Berechtigungen für den Zugriff auf Oracle Cloud Infrastructure Vault- und Oracle Cloud Infrastructure Object Storage-Ressourcen. Weitere Informationen zu dynamischen Gruppen finden Sie unter Dynamische Gruppen verwalten.
Schritt 2: Policy für die dynamische Gruppe erstellen
Nachdem Sie die dynamische Gruppe erstellt haben, müssen Sie eine Policy für die dynamische Gruppe erstellen. In der folgenden Policy hat die dynamische Gruppe den Beispielnamen CertificateAuthority-DG. Die Policy erteilt Mitgliedern der dynamischen Gruppe die Berechtigung zum Verwenden von Vault-Schlüssel und zum Ausführen beliebiger Aktionen mit Object Storage-Objekten in den angegebenen Beispiel-Compartments. Dieser Policy-Typ wird als Resource Principal Policy bezeichnet, weil damit eine Ressource als Principal-Akteur autorisiert wird, der andere Ressourcen bearbeiten kann.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZSchritt 3: Policy für Administratoren hinzufügen
Sie benötigen auch eine Policy, um Administratoren zum Zugriff auf Ressourcen zu autorisieren. Die folgende Policy erteilt der Beispielgruppe CertificateAuthorityAdmins die Berechtigung zum Ausführen beliebiger Aktionen mit allen Ressourcen im aggregierten Ressourcentyp certificate-authority-family und zum Arbeiten mit erforderlichen Vault- und Object Storage-Ressourcen in den angegebenen Beispiel-Compartments nach Bedarf. Dazu gehören die zur Angabe des Verschlüsselungsschlüssels für die CA erforderlichen Berechtigungen.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFZusammen bieten diese Anweisungen den erforderlichen Mindestzugriff für die Ausführung administrativer Aufgaben mit Certificate Authoritys, wie weiter unten in diesem Thema beschrieben. Weitere Informationen zu Berechtigungen oder zum Schreiben von weniger einschränkenden Policys finden Sie unter Details zum Certificates-Service. Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.