Documentación de Oracle Cloud Infrastructure

Creación de un certificado

Cree un certificado para gestionar internamente, incluida la clave privada del certificado.

Debe tener el nivel adecuado de acceso de seguridad para crear un certificado. Para obtener más información, consulte Política de IAM necesaria.

Puede crear un certificado de varias formas, incluso mediante el servicio Certificados para emitir un certificado e importar un certificado emitido por una autoridad de certificación (CA) de terceros. Para conocer los pasos para importar un certificado, consulte Importación de un certificado.

Al emitir un certificado, puede generar y gestionar la clave privada internamente mediante la misma autoridad de certificación para gestionar todo. También puede generar una solicitud del certificado de firma (CSR) y la clave privada en el servidor donde tiene previsto instalar el certificado y, a continuación, enviar esa CSR a una autoridad de certificado para emitir un certificado, todo mientras gestiona la clave privada externamente.

En este tema se describe cómo emitir un certificado que planea gestionar internamente. Para obtener información sobre los pasos para emitir un certificado que gestione externamente con una autoridad de certificado de terceros, consulte Creación del certificado para gestionarlo externamente.

  • En la página de lista Certificados, seleccione Crear certificado. Si necesita ayuda para encontrar la página de lista, consulte Listado de certificados.

    Se abre el panel Crear certificado.

    La creación de un certificado consta de las siguientes páginas:

    • Información Básica
    • Información del sujeto
    • Configuración de la certificación
    • Reglas
    • Resumen

    Ejecute cada uno de los siguientes flujos de trabajo en orden. Para volver a una página anterior, seleccione Anterior.

    Información Básica

    Introduzca la siguiente información:

    • Nombre: introduzca el nombre del certificado. Ningún certificado del arrendamiento puede compartir el mismo nombre, incluidos los certificados pendientes de supresión.
    • Descripción: (opcional) introduzca una descripción para el certificado.
    • Compartimento: seleccione el compartimento en el que reside el certificado de la lista.
    • Tipo de certificado: seleccione una de las siguientes opciones:
      • Emitido por una autoridad de certificación interna: crea un certificado emitido y gestionado por una autoridad de certificación (CA) privada del servicio Certificates.
      • Emitido por una autoridad de certificación interna, gestionado externamente: crea un certificado emitido por una autoridad de certificación privada del servicio Certificates que desea gestionar fuera del servicio.

    Etiquetado

    Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.

    Seleccione Next (Siguiente).

    Información del sujeto

    La página Información del asunto es donde se proporciona un nombre común para identificar al propietario del certificado. Según el uso previsto del certificado, el sujeto puede identificar a una persona, a una organización o a un punto final de la computadora. La información del sujeto puede incluir también nombres DNS o direcciones IP como nombres alternativos del sujeto por los que también se conoce el portador del certificado. Puede utilizar comodines para emitir un certificado para varios nombres de dominio o subdominio.

    Introduzca la siguiente información:

    • Nombre común: introduzca un nombre común.
    • Nombres alternativos de asunto: seleccione una de las siguientes opciones e introduzca su valor correspondiente:
      • Nombre DNS
      • Dirección IP

      Seleccione Otro nombre alternativo de asunto para agregar otro nombre de DNS o dirección IP.

    Campos adicionales

    Introduzca la información solicitada, como el nombre, la dirección y la información organizativa de la materia. Para obtener detalles sobre cada uno de los valores de un nombre distintivo de asunto, consulte RFC 5280.

    Seleccione Next (Siguiente).

    Configuración de la certificación

    Introduzca la siguiente información:

    • Servidor o cliente TLS: seleccione una de las siguientes opciones de la lista:
      • Servidor o cliente de TLS: presentado por un servidor o cliente para conexiones TLS/SSL.
      • Servidor TLS: presentado por un servidor para conexiones TLS/SSL.
      • Cliente TLS: presentado por el cliente durante la conexión TLS/SSL.
      • Signo de código TLS: presentado por un programa para validar su firma.
    • Compartimento de autoridad de certificación de emisor: seleccione el compartimento que contiene la autoridad de certificación que desea utilizar.
    • Autoridad de certificación de emisor: seleccione la autoridad de certificación que desee. Las autoridades de certificación enumeradas son las contenidas en el compartimento de autoridad de certificación del emisor que ha seleccionado.
    • No válido antes de: introduzca la fecha (mm/dd/yyyy) o utilice la herramienta de calendario para especificar antes de qué certificado no se puede utilizar para validar la identidad de su portador. Si no especifica una fecha, el periodo de validez del certificado comienza inmediatamente.
    • Hora: introduzca la hora (hh:mm) en UTC para el día en que especificó que el certificado no es válido antes.
    • No válido después de: introduzca la fecha (mm/dd/yyyy) o utilice la herramienta de calendario para especificar después de la cual el certificado ya no es una prueba válida de la identidad de su portador. Debe especificar una fecha al menos un día posterior a la fecha de inicio del período de validez. La fecha no debe superar la caducidad de la autoridad de certificación emisora.

      No se puede especificar una fecha posterior a 31 de diciembre de 2037. Normalmente, los certificados se utilizan para todo el período de validez, a menos que suceda algún que requiera revocación. El valor por defecto es tres meses después de crear el certificado.

    • Hora: introduzca la hora (hh:mm) en UTC para el día en que especificó que el certificado no es válido después.
    • Algoritmo de clave: seleccione la combinación de algoritmo y longitud de clave que necesita para el par de claves de certificado de las siguientes opciones:
      • RSA2048: clave Rivest-Shamir-Adleman (RSA) de 2048 bits.
      • RSA4096: clave RSA de 4096 bits.
      • ECDSA_P256: clave de algoritmo de firma digital de criptografía de curva elíptica (ECDSA) con un ID de curva P256.
      • ECDSA_P384: clave ECDSA con un ID de curva P384.

    Mostrar campos adicionales

    Algoritmo de firma: (opcional) seleccione uno de los siguientes algoritmos de firma, según la autoridad de certificación que haya seleccionado:

    • SHA256_WITH_RSA: clave Rivest-Shamir-Adleman (RSA) con una función hash SHA-256.
    • SHA384_WITH_RSA: clave RSA con una función hash SHA-384.
    • SHA512_WITH_RSA: clave RSA con una función hash SHA-512.
    • SHA256_WITH_ECDSA: clave de algoritmo de firma digital de criptografía de curva elíptica (ECDSA) con una función hash SHA-256.
    • SHA384_WITH_ECDSA: clave ECDSA con una función hash SHA-384.
    • SHA512_WITH_ECDSA: clave ECDSA con una función hash SHA-512.

    Seleccione Next (Siguiente).

    Reglas

    En la página Reglas se selecciona la configuración de la regla de renovación. Para una máxima flexibilidad, renueve el certificado antes de que finalice su período de validez y con suficiente tiempo de renovación anticipada en caso de fallos. Un certificado que caduca antes de que el servicio se pueda renovar correctamente puede provocar interrupciones en el servicio.

    • Intervalo de renovación (días): especifique el número de días después de los cuales se renueva la regla.
    • Período de renovación anticipado (días): especifique el número de días en que se renueva el certificado.

    Seleccione Next (Siguiente).

    Resumen

    Revise el contenido de la página Resumen. Seleccione Editar para agregar o cambiar información en la página asociada. Cuando la configuración esté completamente verificada, seleccione Crear certificado.

    El certificado que ha creado aparece en la página de lista Certificados.

  • Utilice el comando oci certs-mgmt certificate create-certificate-issued-by-internal-ca y los parámetros necesarios para crear un certificado:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Por ejemplo:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Para obtener una lista completa de los indicadores y las opciones variables de los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación CreateCertificate para crear un certificado que planea gestionar internamente.