Creación de una autoridad de certificación

Introduzca la siguiente información:

• Nombre: introduzca el nombre del certificado. Ninguna autoridad de certificación del arrendamiento puede compartir el mismo nombre, incluidas las autoridades de certificación pendientes de supresión.
• Descripción: (opcional) introduzca una descripción para la autoridad de certificación.
• Compartimento: seleccione el compartimento en el que reside la autoridad de certificación de la lista.
• Tipo de autoridad de certificado: seleccione una de las siguientes opciones:
  • Autoridad de certificación raíz: crea una autoridad de certificación (autoridad de certificación) que emite certificados digitales y gestiona su revocación. Una autoridad de certificación normalmente contiene otras autoridades de certificación con relaciones padre-hijo definidas entre ellas. La autoridad de certificación en la parte superior de una jerarquía se conoce como autoridad de certificación raíz.
  • Autoridad de certificación subordinada: crea una autoridad de certificación subordinada que es una entidad intermedia dentro de una jerarquía de otras entidades que emiten certificados digitales.
  • Autoridad de certificación subordinada: CA externa emitida, gestionada internamente: crea una autoridad de certificación subordinada que emite la autoridad de certificación raíz externa, pero que se gestiona internamente (claves almacenadas) en el módulo de seguridad de hardware (HSM) de OCI. Cree una solicitud de firma de certificado aquí y complete la emisión a través de su autoridad de certificación externa.

La página Información de sujeto incluye al menos un nombre común para identificar al titular del certificado de autoridad de certificación. Según el uso previsto del certificado, el sujeto puede identificar a una persona, a una organización o a un punto final de la computadora. El formato de la información de sujeto debe cumplir con los estándares RFC 5280. Puede utilizar comodines para emitir un certificado para varios nombres de dominio o subdominio.

Introduzca la siguiente información:

• Nombre común: introduzca un nombre común.

Introduzca la siguiente información:

• Compartimento de autoridad de certificación de emisor: (solo autoridad de certificación subordinada) seleccione el compartimento que contiene la autoridad de certificación principal que desea emitir la autoridad de certificación subordinada que está creando.
• Autoridad de certificación de emisor: (solo autoridad de certificación subordinada) seleccione la autoridad de certificación subordinada que desee. Las autoridades de certificación subordinadas que se muestran son las contenidas en el compartimento de autoridad de certificación del emisor que ha seleccionado. Si ha seleccionado el tipo de CA Autoridad de certificación subordinada: CA externa emitida, gestionada internamente, asegúrese de seleccionar la raíz externa como principal RootCA.
• No válido antes de: introduzca la fecha (mm/dd/yyyy) o utilice la herramienta de calendario para especificar antes de qué autoridad de certificación no se puede utilizar para validar la identidad de su portador. Si no especifica una fecha, el periodo de validez de la autoridad de certificación comienza inmediatamente.
• Hora: introduzca la hora (hh:mm) en UTC para el día en que especificó que la autoridad de certificación no es válida antes.
• No válido después de: introduzca la fecha (mm/dd/yyyy) o utilice la herramienta de calendario para especificar después de la cual la autoridad de certificación ya no es una prueba válida de la identidad de su portador. Debe especificar una fecha al menos un día posterior a la fecha de inicio del período de validez. La fecha no debe superar la caducidad de la entidad emisora de certificación.

  No se puede especificar una fecha posterior a 31 de diciembre de 2037. Normalmente, las autoridades de certificación se utilizan para todo el período de validez, a menos que suceda algún que requiera revocación. El valor por defecto es tres meses después de la creación de la autoridad de certificación.

• Hora: introduzca la hora (hh:mm) en UTC para el día en que especificó que la autoridad de certificación no es válida después.
• Almacén en compartimento: seleccione el compartimento que contiene el almacén que contiene la clave de cifrado que desea utilizar para el certificado de autoridad de certificación.
• Almacén de entrada: seleccione el almacén que contiene la clave de cifrado que desea utilizar para el certificado de autoridad de certificación. Los almacenes mostrados son los que contiene el compartimento de almacén que ha seleccionado.
• Clave en compartimento: seleccione el compartimento que contiene la clave de cifrado en el almacén que desea utilizar para el certificado de autoridad de certificación.
• Clave de entrada: seleccione la clave que desea utilizar. La lista incluye solo las claves asimétricas en el almacén porque Certificates solo soporta claves asimétricas. Puede seleccionar entre las claves Rivest-Shamir-Adleman (RSA) que tienen 2.048 bits o 4.096 bits.

  También puede seleccionar entre las claves eliptic curvas criptografía algoritmo firma digital (ECDSA) que tienen un ID de curva elíptico de NIST_P384. En la lista se incluyen solo estos tipos de claves asimétricas que están protegidas por un módulo del hardware de seguridad (HSM). Los certificados no soportan el uso de claves protegidas por software. Para obtener información acerca de la creación y gestión de claves, consulte Managing Keys.

• Algoritmo de firma: seleccione una de las siguientes opciones, según la familia de algoritmos clave:
  • SHA256_WITH_RSA: clave RSA con una función hash SHA-256.
  • SHA384_WITH_RSA: clave RSA con una función hash SHA-384.
  • SHA512_WITH_RSA: clave RSA con una función hash SHA-512.
  • SHA256_WITH_ECDSA: clave ECDSA con una función hash SHA-256.
  • SHA384_WITH_ECDSA: clave ECDSA con una función hash SHA-384.
  • SHA512_WITH_ECDSA: clave ECDSA con una función hash SHA-512.

Seleccione Next (Siguiente).

La página Reglas es donde se configuran las reglas para aplicar restricciones a esta autoridad de certificación y a los recursos que emite desde ella.

La página Revocation Configuration es donde puede configurar una ubicación para publicar una lista de revocación de certificados (CRL). Una CRL especifica las versiones de una autoridad de certificación o certificado que ya no se consideran fiables ni inválidas antes de que finalice su período de validez. Puede almacenar una CRL en un cubo de Object Storage o especificar una URL con formato personalizado como punto de distribución de CRL. La configuración de revocación se puede actualizar en cualquier momento.

Active Revocation para configurar los siguientes valores:

• Compartimento de cubo de almacenamiento de objetos: seleccione el compartimento que contiene el cubo de almacenamiento de objetos donde puede almacenar una CRL.
• Cubo de Object Storage: seleccione el cubo de Object Storage que desea. Los cubos que aparecen son los contenidos en el compartimento que ha seleccionado.
• Formato de Nombre de Objeto: especifique el nombre del objeto. Puede incluir llaves en el nombre del objeto para indicar dónde puede insertar el servicio el número del versión de la autoridad de certificado que emite. Esta adición ayuda a evitar la sobrescritura de una CRL existente cada vez que crea otra versión de autoridad de certificación. Para obtener más información sobre los nombres de objetos, consulte Nombres de objetos.

Revise el contenido de la página Resumen. Seleccione Editar para agregar o cambiar información en la página asociada. Cuando la configuración esté completamente verificada, seleccione Crear autoridad de certificación.

La autoridad de certificación que creó aparece en la página de lista Certificate Authorities (Autoridades de certificación).