Oracle Cloud Infrastructure-Dokumentation

Certificate Authority erneuern

Verlängern Sie eine Certificate Authority (CA), wenn sie kurz vor dem Ablauf steht, wenn Sie den Zertifikatsinhalt aktualisieren müssen oder wenn sie aufgrund einer Sicherheitsverletzung des Zertifikats oder des Schlüssels widerrufen wurde.

Durch die Erneuerung einer Certificate Authority wird eine weitere Certificate Authority-Version mit neuem Zertifikatsinhalt und einem neuen Gültigkeitszeitraum erstellt. Erneuerungen von Certificate Authoritys werden manuell durchgeführt. Mit Erneuerungsregeln können Sie eine Certificate Authority nicht automatisch erneuern. Bevor Sie eine Certificate Authority erneuern, rotieren Sie den Schlüssel, den Sie mit der Certificate Authority verwenden, um sicherzustellen, dass die von Ihnen erstellte neue Version einer Certificate Authority aktualisiertes Schlüsselmaterial enthält. Weitere Informationen finden Sie unter Vaultschlüssel rotieren.

    1. Wählen Sie auf der Listenseite Certificate Authorities die Certificate Authority aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder der Certificate Authority benötigen, lesen Sie Certificate Authoritys auflisten.
      Die Detailseite der Certificate Authority wird geöffnet.
    2. Wählen Sie auf der Detailseite des Zertifikats die Option Versionen aus.
      Die Liste Versionen wird geöffnet.
    3. Wählen Sie Certificate Authority erneuern aus.
      Der Bereich Zertifikatsautorität erneuern wird geöffnet.
    4. Führen Sie je nach CA-Typ die folgenden Schritte aus, um Ihre CA zu erneuern.

    OCI-erstellte CA erneuern

    Wenn Sie eine von OCI erstellte CA erneuern, geben Sie die folgenden Informationen ein.
    1. (Optional) Wählen Sie Nicht gültig vor aus, und geben Sie das Datum an, ab dem Sie die neue CA-Version verwenden möchten. Wenn Sie kein Datum angeben, ist die neue CA sofort gültig. Sie müssen sie jedoch auch als aktuelle Version festlegen, damit sie verwendet werden kann.
    2. Wählen Sie Nicht gültig nach aus, und geben Sie das Datum an, nach dem mit der CA keine untergeordneten CAs oder Zertifikate mehr ausgestellt oder validiert werden können.
    3. Entscheiden Sie, ob Sie die neue CA-Version sofort verwenden möchten, indem Sie einen der folgenden Schritte ausführen:
      • Um die neue CA-Version als aktuelle Version festzulegen, deaktivieren Sie das Kontrollkästchen Auf "Ausstehend" setzen.
      • Um die neue CA-Version später als aktuelle Version festzulegen, lassen Sie das Kontrollkästchen aktiviert.
    4. Wenn Sie bereit sind, wählen Sie Certificate Authority erneuern aus.

    Extern importierte CA erneuern

    Stellen Sie sicher, dass Sie das importierte rootCA-Zertifikat zeitnah manuell aktualisieren. Führen Sie die folgenden Schritte aus, um den Typ Untergeordnete Certificate Authority: Externe CA ausgestellt, intern verwaltete CA zu erneuern.
    1. Wählen Sie Verlängern für die CA aus. Der CA-Versionsstatus ändert sich in Aktivierung ausstehend.
    2. Laden Sie den CSR herunter.
    3. Leiten Sie den CSR an den Aussteller oder die externe CA weiter, aktualisieren und signieren Sie ihn.
    4. Kehren Sie zur Konsole zurück, und laden Sie das signierte Zertifikat hoch.
    5. Schließen Sie den Prozess ab, indem Sie Aktivieren für die neue CA-Version auswählen.

  • Der Befehl, mit dem Sie eine Certificate Authority erneuern, hängt davon ab, ob die Certificate Authority eine Root Certificate Authority oder eine untergeordnete Certificate Authority ist.

    Verwenden Sie den Befehl oci certs-mgmt certificate-authority update-root-ca-by-generating-config-details und die erforderlichen Parameter, um eine Root Certificate Authority zu erneuern:

    oci certs-mgmt certificate-authority update-root-ca-by-generating-config-details --certificate-authority-id <CA_OCID> --validity <version_validity_period_JSON> [OPTIONS]

    Beispiel:

    oci certs-mgmt certificate-authority update-root-ca-by-generating-config-details --certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --validity file://path/to/validity.json

    Um eine untergeordnete Certificate Authority zu erneuern, öffnen sie eine Eingabeaufforderung, und führen Sie den Befehl oci certs-mgmt certificate-authority update-subordinate-ca-issued-by-internal-ca und die erforderlichen Parameter aus:

    oci certs-mgmt certificate-authority update-subordinate-ca-issued-by-internal-ca --certificate-authority-id <CA_OCID> --validity <version_validity_period_JSON> [OPTIONS]

    Beispiel:

    oci certs-mgmt certificate-authority update-subordinate-ca-issued-by-internal-ca --certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --validity file://path/to/validity.json

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang UpdateCertificateAuthority aus, um eine Certificate Authority zu erneuern.