Documentación de Oracle Cloud Infrastructure

Creación de una autoridad de certificación

Utilice el servicio Certificates para crear una autoridad de certificación (CA) raíz o una CA subordinada.

Debe tener una CA raíz para crear una CA subordinada.

Debe tener el nivel adecuado de acceso de seguridad para crear una CA. Para obtener más información, consulte Política de IAM necesaria.

Para crear una CA, debe tener acceso a una clave de cifrado asimétrica protegida por hardware existente desde el servicio Oracle Cloud Infrastructure (OCI) Vault. Para obtener más información, consulte Visión general de Vault.

Al crear una CA con una lista de revocación de certificados (CRL), puede especificar un cubo de OCI Object Storage en el que desee almacenar la CRL. El cubo ya debe existir en el momento de crear la autoridad de certificación. El cubo también debe ser un cubo dedicado que no se utilice para ningún otro propósito o para almacenar la CRL de cualquier otra CA.

    1. En la página de lista Autoridades de certificación, seleccione Crear autoridad de certificación. Si necesita ayuda para buscar la página de lista, consulte Listado de autoridades de certificación.
    2. Seleccione Compartimento y, a continuación, seleccione el compartimento en el que desea crear la CA.
    3. En Tipo de autoridad de certificación, seleccione el tipo de CA de las siguientes opciones:
      • Autoridad de certificación raíz: la CA en la parte superior de la jerarquía en una cadena de autoridades de certificación.
      • Administración de certificación subordinada: cualquier autoridad de certificación que no sea la CA raíz en una jerarquía que contenga otras CA.
    4. Introduzca un nombre mostrado único para la CA. Este nombre ayuda a identificar la autoridad de certificación con fines administrativos, pero no aparece como parte del certificado de CA. Evite introducir información confidencial.
      Nota

      No hay dos CA en el arrendamiento que puedan compartir el mismo nombre, incluidas las CA pendientes de supresión.
    5. (Opcional) Introduzca una descripción para ayudarle a identificar la CA. (Esta descripción ayuda a identificar la CA, pero no aparece como parte del certificado de CA). Evite introducir información confidencial.
    6. (Opcional) Para aplicar etiquetas, seleccione Mostrar opciones de etiquetado. Para obtener más información sobre las etiquetas, consulte Etiquetas de recursos.
    7. Seleccione Siguiente.
    8. Proporcione la información del sujeto. La información de sujeto incluye al menos un nombre común para identificar al titular del certificado de CA. Según el uso previsto del certificado, el sujeto puede identificar a una persona, a una organización o a un punto final de la computadora. El formato de la información de sujeto debe cumplir con los estándares RFC 5280. Puede utilizar comodines para emitir un certificado para varios nombres de dominio o subdominio.
    9. (Opcional) Para proporcionar más información sobre el asunto de la autoridad de certificación, seleccione Mostrar campos adicionales. Para obtener detalles sobre cada uno de los valores de un nombre distintivo de asunto, consulte RFC 5280.
    10. Cuando esté listo, seleccione Siguiente.
    11. (Opcional) Seleccione No válido antes de y, a continuación, especifique la hora y la fecha UTC cuando desee empezar a utilizar la autoridad de certificación. Si no especifica una fecha, el período de validez de la autoridad de certificación comienza inmediatamente.
    12. Seleccione No válido después de y, a continuación, especifique la fecha después de la cual la autoridad de certificación ya no se puede utilizar para emitir o validar certificados o autoridades de certificación subordinadas. (Debe especificar una fecha al menos un día posterior a la fecha de inicio del período de validez. No puede especificar una fecha posterior al 31 de diciembre de 2037. Los valores se redondean al alza al segundo más cercano).
    13. Si está creando una CA subordinada, en Autoridad de certificados de emisor, especifique una CA principal para emitir esta CA. Si está creando una CA raíz, continúe con el siguiente paso.
    14. En Almacén, seleccione el almacén que contiene la clave de cifrado que desea utilizar para el certificado de CA. Opcionalmente, seleccione Cambiar compartimento para especificar un compartimento diferente. Para obtener información sobre la creación y gestión de almacenes, consulte Gestión de almacenes.
    15. En Clave, seleccione la clave en el almacén que desea utilizar. La lista incluye solo las claves asimétricas del almacén porque Certificates solo soporta claves asimétricas. Puede seleccionar entre claves Rivest-Shamir-Adleman (RSA) de 2.048 bits o 4.096 bits. También puede seleccionar las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) que tienen un ID de curva elíptica de NIST_P384. Específicamente, la lista incluye solo estos tipos de claves asimétricas que están protegidas por un módulo de seguridad de hardware (HSM). Los certificados no admiten el uso de claves protegidas por software. Para obtener más información sobre la creación y gestión de claves, consulte Gestión de claves.
    16. En Algoritmo de firma, seleccione una de las siguientes opciones, según la familia de algoritmos de claves:
      • SHA256_WITH_RSA: clave RSA con una función hash SHA-256
      • SHA384_WITH_RSA: clave RSA con una función hash SHA-384
      • SHA512_WITH_RSA: clave RSA con una función hash SHA-512
      • SHA256_WITH_ECDSA: clave ECDSA con una función hash SHA-256
      • SHA384_WITH_ECDSA: clave ECDSA con una función hash SHA-384
      • SHA512_WITH_ECDSA: clave ECDSA con una función hash SHA-512

        Cuando esté listo, seleccione Siguiente.

    17. Configure la regla de caducidad. En Duración máxima de validez de los certificados (días), especifique el número máximo de días que puede ser válido un certificado emitido por esta CA. Recomendamos encarecidamente un período de validez no superior a 90 días.
    18. En Duración máxima de validez de la autoridad de certificación subordinada (días), especifique el número máximo de días que una autoridad de certificación emitida por esta autoridad de certificación puede ser válida para emitir otras autoridades de certificación o certificados. Cuando esté listo, seleccione Siguiente.
    19. En la página Configuración de revocación, si no desea configurar una lista de revocación de certificados (CRL, certificate revococation list), seleccione la casilla de control Skip Revocation. Para configurar la revocación de certificados, desactive la casilla de control y, a continuación, especifique un cubo de Object Storage dedicado en el que tenga previsto almacenar la CRL.
    20. (Opcional) Seleccione Cambiar compartimento para encontrar un cubo en un compartimento diferente.
    21. En Formato de nombre de objeto, especifique el nombre del objeto. Puede incluir llaves en el nombre del objeto para indicar dónde puede insertar el servicio el número de versión de la autoridad de certificación que emite. Esta adición ayuda a evitar la sustitución de una CRL existente cuando cree otra versión de CA. Para obtener más información sobre los nombres de objetos, consulte Nombres de objetos.
    22. (Opcional) En URL con formato personalizado, proporcione la URL que desea utilizar con las API para acceder al objeto. Esta URL se nombra en certificados como punto de distribución de CRL (CDP). Puede incluir llaves en la URL para indicar dónde puede insertar el servicio el número de versión de la autoridad de certificación que emite. Esta adición ayuda a evitar sobrescribir una CDP existente cada vez que crea otra versión de CA. Puede especificar una URL de HTTPS solo si no existe ninguna dependencia circular en la verificación de la cadena HTTPS.
    23. (Opcional) Para proporcionar otra CDP, seleccione + Otra URL y, a continuación, proporcione otra URL donde los usuarios puedan acceder a la CRL.
    24. Cuando esté listo, seleccione Siguiente.
    25. Confirme que la información es correcta y, a continuación, seleccione Crear autoridad de certificación.
      Puede tardar un poco en crear recursos relacionados con certificados.

  • El comando que utilice depende de si desea crear una autoridad de certificación raíz o subordinada.

    Utilice el comando oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details y los parámetros necesarios para crear una CA raíz:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Por ejemplo:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para crear una CA subordinada, utilice el comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca y los parámetros necesarios:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Por ejemplo:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación CreateCertificateAuthority para crear una CA.