Documentación de Oracle Cloud Infrastructure

Traer su propia autoridad de certificación

Traiga su propia autoridad de certificación (BYOCA) para certificados de OCI ofrece a las empresas la flexibilidad de integrar su infraestructura de autoridad de certificación (CA) existente directamente en OCI, al tiempo que mantiene el control total de sus claves privadas.

Las empresas de hoy en día ejecutan entornos PKI maduros y profundamente arraigados que admiten miles de aplicaciones, mandatos regulatorios y cadenas de confianza de larga data. La reconstrucción de esta jerarquía en la nube es costosa, arriesgada y rara vez factible. Los clientes necesitan una forma segura y predecible de conectar sus CA raíz existentes a OCI, mantener la continuidad de la confianza y adoptar la automatización en la nube sin interrumpir las operaciones.

BYOCA está construido precisamente para esto.

Traer su propia autoridad de certificación raíz

Puede importar una autoridad de certificación (CA) raíz externa en certificados de OCI proporcionando el certificado (PEM), sin cargar nunca sus claves privadas. OCI registra la CA como una CA raíz gestionada externamente, manteniendo la confianza con una infraestructura de claves públicas existente y garantizando que las claves permanezcan únicamente bajo su control.

Para importar la CA raíz, siga estos pasos:

  1. En la consola de OCI, abra el menú principal (☰ menú de hamburguesa) y vaya a Identidad y seguridad y, a continuación, seleccione Certificados.
  2. En Autoridades de certificación, seleccione Importar autoridad de certificación.
  3. Introduzca el Nombre y la Descripción.
  4. Seleccione el compartimento para la autoridad de certificación raíz.
  5. Cargue o pegue el archivo PEM del certificado de CA raíz en OCI. Agregue una descripción de clave externa.
  6. Seleccione Importar.
Nota

Para obtener más información sobre la importación del certificado, consulte: Importación de su propia autoridad de certificación

Creación de una CA subordinada gestionada por OCI

Después de importar la CA raíz, genere una solicitud de firma de certificado (CSR) en OCI. Para crear una nueva autoridad de certificación subordinada (subCA), seleccione Autoridad de certificación subordinada: CA externa emitida, gestionada internamente en el cuadro de diálogo Crear autoridad de certificación. A continuación, firme esta CSR externamente mediante sus claves de CA raíz existentes y vuelva a cargar el certificado firmado en OCI. En ese momento, el servicio OCI Certificates activa la autoridad de certificación subordinada y la gestiona en su nombre, utilizando claves almacenadas de forma segura en OCI Key Management Service (KMS). La CA subordinada necesita una clave respaldada por el módulo de seguridad de hardware (HSM).

Pasos para crear una CA subordinada

Para crear una CA subordinada, siga estos pasos iniciales:

  1. Importe la CA raíz externa a OCI. Consulte la sección anterior.
  2. Vaya a la página de lista Certificate Authorities y seleccione Create Certificate Authority. Si necesita ayuda para encontrar la página de lista, consulte List Certificate Authorities.
  3. En Información básica, introduzca el nombre y la descripción.
  4. Seleccione el compartimento para la CA raíz.
  5. Seleccione CA externa de autoridad de certificación subordinada emitida, gestionada internamente.

Rellene las secciones restantes del cuadro de diálogo de CA.

(1) Información del sujeto

Información de tema: introduzca el nombre común que identifica la CA subordinada creada en la jerarquía de certificados de la organización.

Complete las opciones adicionales de nombre distintivo de asunto según sea necesario.

(2) Configuración de autoridad

Configuración de autoridad:
  • Seleccionar:
    • Compartimento: compartimento de destino para la CA raíz.
    • Autoridad de certificación del emisor: la autoridad de certificación raíz externa importada que sirve como autoridad principal para esta autoridad de certificación subordinada.
  • Seleccionar:
    • Compartimento: compartimento de destino para el almacén.
    • Almacén: almacén que almacena la clave.
  • Seleccionar:
    • Compartimento: compartimento de destino para la clave.
    • Clave: clave para la CA.

(3) Reglas

Siga estos pasos para configurar las reglas:

  1. Regla de caducidad: activada. El valor por defecto.
    • Duración de validez máxima para el certificado: el valor recomendado es de 90 días.
    • Duración de validez máxima para la CA subordinada: el valor recomendado es de 1095 días (3 años).

    Modifique los periodos de validez para que se ajusten a los requisitos de la organización.

  2. Regla de emisión: activada. El valor por defecto.
    • Restricción de longitud de ruta: especifique la longitud.
    • Restricción de nombre: defina cualquier restricción de nombre que defina qué nombres de asunto de certificados/SAN puede emitir esta CA.
    Para configurar reglas de emisión, especifique la longitud de ruta permitida y cualquier restricción de nombre que defina qué nombres de asunto de certificados/SAN puede emitir esta CA.

(4) configuración de revocación

Puede configurar una ubicación para publicar una lista de revocación de certificados (CRL). Una CRL especifica las versiones de una CA o certificado que ya no se consideran confiables ni inválidas antes de que finalice su período de validez. La configuración de revocación se puede actualizar en cualquier momento.

  • Activar revocación: activado. El valor por defecto.
  • Compartimento: compartimento para el cubo de almacenamiento de objetos.
  • Bloque de almacenamiento de objetos: seleccione el cubo de destino.
  • Formato de nombre de objeto: especifique un formato para los archivos de objeto.
  • URL con formato personalizado: especifique una URL con formato personalizado como punto de distribución de CRL (CDP).

Revisar

Revise las opciones de configuración. Seleccione Create Certificate Authority (Crear autoridad de certificación).

Esto crea una entidad de autoridad de certificación subordinada en OCI.

Pasos para activar una CA subordinada

Para activar la CA subordinada, siga estos pasos

  1. Vaya a la página de lista Certificate Authorities (Autoridades de certificados). Si necesita ayuda para encontrar la página de lista, consulte List Certificate Authorities.
  2. Seleccione la CA subordinada creada recientemente.
  3. Vaya al separador Versiones. En la etapa Pending_Activation. Seleccione el menú Acciones (tres puntos) de la versión y seleccione Descargar CSR.
  4. Tome la CSR descargada y firme la CSR con su CA externa.
  5. Vuelva al mismo separador Versiones y seleccione Activar. Cargue el certificado firmado y seleccione Activar.

El resultado después de crear y activar su CA:

  • Una CA subordinada totalmente operativa
  • Una opción flexible de claves privadas generadas o importadas dentro de OCI KMS
  • Gestión completa del ciclo de vida de OCI y emisión de certificados directamente desde SubCA.

También puede importar sus propios pares de claves asimétricas para CA subordinadas directamente en OCI KMS, lo que les proporciona una mayor flexibilidad en la forma en que se crean y controlan las claves.

Resumen

Con BYOCA, puede:

  • Amplíe una jerarquía de CA raíz existente a OCI sin exponer las claves privadas.
  • Crear CA subordinadas gestionadas por OCI mediante CSR firmadas por la raíz externa.
  • Emita certificados directamente desde las CA subordinadas gestionadas por OCI mediante claves seguras respaldadas por KMS.
  • Esto salva la brecha entre sus inversiones actuales en PKI y las ventajas de automatización y escalabilidad de OCI.

Algunas ventajas son:

  • Más flexibilidad: aproveche la infraestructura, las políticas y los modelos de gobernanza de CA existentes en OCI sin volver a diseñarlos.
  • Mejor interoperabilidad: conecta entornos híbridos sin esfuerzo. BYOCA facilita la ejecución de cargas de trabajo distribuidas en entornos locales, multinube y OCI.
  • Conformidad más estricta: Alignment BYOCA admite la separación estricta de modelos de tareas, requisitos normativos y mandatos de auditoría, mientras que OCI gestiona el ciclo de vida operativo de las CA subordinadas en una plataforma segura y compatible.
  • Opciones de seguridad más sólidas: decida dónde se encuentran las claves y cómo se gestionan. Mantenga un control total de las claves raíz, mientras que OCI gestiona la carga operativa de las autoridades de certificación subordinadas.