Überblick über Certificates

Mit Oracle Cloud Infrastructure Certificates können Sie TLS-Zertifikate, Certificate Authoritys (CAs) und CA-Bundles erstellen und verwalten.

Mit Oracle Cloud Infrastructure Certificates können Organisationen Zertifikate ausstellen, speichern und verwalten sowie widerrufen und automatisch verlängern. Wenn Sie bereits eine Certificate Authority (CA) eines Drittanbieters verwenden, können Sie von dieser CA ausgestellte Zertifikate zur Verwendung in einem Oracle Cloud Infrastructure-Mandanten importieren. Durch die Integration mit Oracle Cloud Infrastructure Load Balancer können Sie von Certificates ausgestellte oder verwaltete TLS-Zertifikate nahtlos mit Ressourcen verknüpfen, die Zertifikate benötigen.

Mit dem Certificates-Service können Sie folgende Ressourcen erstellen und verwalten:

Certificate Authoritys (CAs)
Certificates
CA-Bundles

Mit dem Certificates-Service können Sie die folgenden Lebenszyklusmanagementfunktionen für CAs, Zertifikate und CA-Bundles ausführen und diese Ressourcen kontrollieren und darauf zugreifen:

CAs (einschließlich Root- oder untergeordnete CAs), Zertifikate oder CA-Bundles erstellen
Von einer Drittanbieter-CA extern ausgestellte Zertifikate importieren
Metadaten von CAs, Zertifikaten oder CA-Bundles aktualisieren
CAs oder Zertifikate erneuern oder CA-Bundles mit neuem Zertifikatsinhalt aktualisieren
CAs, Zertifikate oder CA-Bundles löschen, wenn sie nicht mehr benötigt werden
Regeln für die Gültigkeitsdauer der von einer CA ausgestellten CAs und Zertifikate konfigurieren
Regeln für die automatische Erneuerung von Zertifikaten konfigurieren
Aktuelle Version einer CA, eines Zertifikats oder eines Zertifikats-Bundles festlegen
CA oder Zertifikatsversion widerrufen, wenn sie kompromittiert wurde und nicht mehr verwendet werden soll
CAs, Zertifikate oder CA-Bundles mit benutzerdefinierten Metadaten taggen

Sie können folgende Aktionen mit zertifikatsbezogenen Ressourcen ausführen:

Bundles für CAs, Zertifikate und CA-Bundles anzeigen
Zertifikate mit einer oder mehreren unterstützten Oracle Cloud Infrastructure-Ressourcen verknüpfen, z.B. Load Balancer

Dank der Integration mit Oracle Cloud Infrastructure Identity and Access Management (IAM) können Sie steuern, welche Benutzer und Services auf CAs, Zertifikate und CA-Bundles zugreifen können und welche Aktionen mit diesen Ressourcen zulässig sind. Dank der Integration mit Oracle Cloud Infrastructure Audit können Sie die Verwendung von Zertifikaten überwachen. Audit verfolgt administrative Aktionen für CAs, Zertifikate und CA-Bundles.

Die Integration mit Cloud Guard ermöglicht es Ihnen, Sicherheitslücken in Bezug auf die Konfiguration von Certificates-Ressourcen und potenziell riskante Aktivitäten zu erkennen. Die Cloud Guard-Integration bietet Ihnen außerdem empfohlene Schritte zur Korrektur erkannter Probleme. Weitere Informationen finden Sie unter Cloud Guard mit anderen Services integrieren: Certificates-Service.

Zertifikatskonzepte

Schlüsselkonzepte und Komponenten des Certificates-Service

Zertifikate: Ein Zertifikat ist ein digitales Dokument, das sein Subject als Eigentümer des enthaltenen Public Key bestätigt. Ein Zertifikat wird auch als End-Entity- oder Blattzertifikat bezeichnet. Ein End-Entity-Zertifikat ist ein Zertifikat, mit dem keine anderen Zertifikate signiert werden können. Beispiel: Bei TLS/SSL-Server- und -Clientzertifikaten, E-Mail-Zertifikaten, Codesignaturzertifikaten und qualifizierten Zertifikaten handelt es sich um End-Entity-Zertifikate.
Certificate Authoritys: Eine Certificate Authority (CA) stellt Zertifikate und untergeordnete CAs aus. CAs müssen die Eigentümerschaft eines Public Key in einem bestimmten Zertifikat zertifizieren. Ein CA-Zertifikat authentifiziert die CA-Signatur in den von der CA ausgestellten Zertifikaten. CAs sind hierarchisch aufgebaut, wobei die oberste CA als Root-CA und jede weitere CA in der Hierarchie als untergeordnete CA bezeichnet wird.; Eine CA-Hierarchie stellt eine Vertrauenskette (oder einen Zertifizierungspfad) dar, in der jede Entity die in der Kette darunter liegende Entity signiert. Die Root-CA ist selbstsigniert. Damit ein Zertifikat vertrauenswürdig ist, muss die Root-CA entsprechend für den validierenden Endpunkt vertrauenswürdig sein.
CA-Bundles: Ein Bundle enthält die Root- und Zwischenzertifikate (auch als Inhalt des Bundles bezeichnet), die Eigenschaften des Zertifikats (und der Zertifikatsversion) sowie vom Benutzer bereitgestellte Kontextmetadaten für das Zertifikat. Ein CA-Bundle kann eine einzelne CA oder mehrere CAs enthalten, einschließlich nicht vom Certificates-Service verwalteter CAs. Der Certificates-Service unterstützt Zertifikatsinhalt im PEM-Format.
Zertifikatsketten: Eine Zertifikatskette ist die Liste der Zertifikate vom End-Entity-Zertifikat bis zum Root-Zertifikat. Der Service unterstützt keine gemischten Zertifikatsketten, bei denen Zertifikate unterschiedliche Schlüsselalgorithmusfamilien verwenden, wie etwa RSA- und ECDSA-Schlüssel. Es wird empfohlen, separate CA-Ketten für unterschiedliche Schlüsselalgorithmusfamilien zu verwenden.
Zertifikatswiderruflisten: Eine Zertifikatswiderrufliste (CRL) wird von einer CA ausgestellt und enthält alle CAs und Zertifikate, die von der ausstellenden CA vor ihrem Ablaufdatum widerrufen wurden. Durch den Widerruf wird ein Zertifikat ungültig, sodass es nicht mehr vertrauenswürdig ist.

Regionen und Availability-Domains

Der Certificates Service ist in allen kommerziellen Regionen von Oracle Cloud Infrastructure verfügbar. Eine Liste der verfügbaren Regionen sowie der zugehörigen Standorte, Regions-IDs, Regionsschlüssel und Availability-Domains finden Sie unter Regionen und Availability-Domains.

Ressourcen-IDs

Die meisten Oracle Cloud Infrastructure-Ressourcentypen verfügen über eine eindeutige, von Oracle zugewiesene ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Informationen zum OCID-Format und zu weiteren Möglichkeiten zur Identifizierung Ihrer Ressourcen finden Sie unter Ressourcen-IDs.

Möglichkeiten für den Zugriff auf Oracle Cloud Infrastructure

Sie können über die Konsole (eine browserbasierte Schnittstelle) oder die REST API auf Oracle Cloud Infrastructure zugreifen. Anweisungen für die Konsole und die API sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter SDKs und die CLI.

Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole aufzurufen, öffnen Sie das Navigationsmenü oben auf dieser Seite, und klicken Sie auf Infrastrukturkonsole. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.

Eine Liste der verfügbaren SDKs finden Sie unter SDKs und die CLI. Allgemeine Informationen zur Verwendung der APIs finden Sie in der REST-API-Dokumentation.

Allgemeine Informationen zur Verwendung der API finden Sie unter REST-APIs.

Authentifizierung und Autorisierung

Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in IAM integriert werden.

Ein Administrator in der Organisation muss Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Die Policys kontrollieren beispielsweise, wer neue Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen starten, Buckets erstellen, Objekte herunterladen kann usw. Weitere Informationen finden Sie unter Erste Schritte mit Policys. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.

Wenn Sie ein regulärer Benutzer (kein Administrator) sind, der die Oracle Cloud Infrastructure-Ressourcen verwenden muss, deren Eigentümer Ihr Unternehmen ist, muss Ihr Administrator eine Benutzer-ID für Sie einrichten. Der Administrator kann bestätigen, welche Compartments Sie verwenden sollten.

Limits für Certificates-Ressourcen

In den Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen.