Documentación de Oracle Cloud Infrastructure

Firma de la CSR

Descubra cómo firmar una solicitud de firma de certificado (CSR) como parte de una inicialización de cluster de HSM en OCI Dedicated Key Management.

Requisito: esta tarea se completa después de descargar la CSR, como se describe en Downloading a Certificate Signing Request.

Para firmar, primero debe crear un certificado de firma autofirmado y usarlo para firmar la solicitud de firma de certificado (CSR). Para firmar, debe completar las tareas siguientes:
  1. Genere un par de claves RSA para el recurso de cluster de HSM. Esta clave se denomina clave de propietario de partición (PO). Asegúrese de almacenar la clave y la frase de contraseña en una ubicación segura, como KMS Vault. Puede usar la clave para firmar la CSR de partición que descargó en el paso anterior.
    $ openssl genrsa -aes256 -out customerPO.key 
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for customerPO.key:
Verifying - Enter pass phrase for customerPO.key:
  2. Utilice la clave de propietario de partición (customerPO.key) para generar un certificado de propietario de partición (partitionOwnerCert.pem). El siguiente comando genera el certificado válido solo durante diez años. Puede cambiar la fecha de caducidad si es necesario, pero debe tener al menos 5 años. El certificado de propietario de partición se debe compartir con usuarios de KMS dedicados.
    $ openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem
Enter pass phrase for customerPO.key:
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:SJ
Organization Name (eg, company) []:Oracle
Organizational Unit Name (eg, section) []:Sec
Common Name (eg, fully qualified host name) []:kms
Email Address []:
  3. Firme la CSR (partitionCsr .csr) mediante la clave de propietario de partición (customerPO.key) y partitionOwnerCert.pem (creada en pasos anteriores) para generar partitionCert.pem.
    $ openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem
Signature ok
subject=/C=US/ST=CA/L=Default City/O=Default Company Ltd/CN=user1
Getting CA Private Key
Enter pass phrase for customerPO.key:
$ ls
customerPO.key  partitionCert.pem  partitionOwnerCert.pem  partitionOwner.srl
  4. Codifique partitionCert.pem y partitionOwnerCert.pem para basar 64 mediante los siguientes comandos. (Este paso sólo es necesario para CLI).
  5. Cargue los certificados partitionCert.pem y partitionOwnerCert.pem en el cluster de HSM.
    openssl base64 -A -in partitionCert.pem
openssl base64 -A -in partitionOwnerCert.pem