Documentación de Oracle Cloud Infrastructure

Creación de un certificado

Cree un certificado para gestionar internamente, incluida la clave privada del certificado.

Debe tener el nivel adecuado de acceso de seguridad para crear un certificado. Para obtener más información, consulte Política de IAM necesaria.

Puede crear un certificado de varias formas, incluido mediante el servicio Certificates para emitir un certificado e importar un certificado emitido por una autoridad de certificación (CA) de terceros. Para conocer los pasos para importar un certificado, consulte Importación de un certificado.

Varias formas de gestionar un certificado también afectan el proceso de creación. Al emitir un certificado, puede generar y gestionar la clave privada internamente mediante la misma autoridad de certificación para gestionar todo. También puede generar una solicitud de firma de certificado (CSR) y una clave privada en el servidor donde tiene previsto instalar el certificado y, a continuación, enviar esa CSR a una autoridad de certificación para emitir un certificado, mientras gestiona la clave privada externamente. En esta tarea se describe cómo emitir un certificado que planea gestionar internamente. Para conocer los pasos para emitir un certificado que se gestiona externamente con una autoridad de certificación de terceros, consulte Creación de un certificado para gestionarse externamente.

    1. En la página de lista Certificados, seleccione Crear certificado. Si necesita ayuda para buscar la página de lista, consulte Listado de certificados.
    2. En Compartimento, seleccione el compartimento en el que desea crear el certificado. El certificado puede existir en el mismo compartimento que la autoridad de certificación o en otro diferente.
    3. En Tipo de certificado, para emitir un certificado desde una CA de servicio de certificados que, a continuación, también gestiona el certificado, seleccione Emitido por la CA interna.
    4. Introduzca un nombre mostrado único para el certificado. Evite introducir información confidencial.
      Nota

      No hay dos certificados en el arrendamiento que puedan compartir el mismo nombre, incluidos los certificados pendientes de supresión.
    5. (Opcional) Introduzca una descripción para ayudarle a identificar el certificado. Evite introducir información confidencial.
    6. (Opcional) Para aplicar etiquetas, seleccione Mostrar opciones de etiquetado. Para obtener más información sobre las etiquetas, consulte Etiquetas de recursos.
    7. Seleccione Siguiente.
    8. Proporcione la información del sujeto. La información de sujeto incluye un nombre común para identificar al titular del certificado. Según el uso previsto del certificado, el sujeto puede identificar a una persona, a una organización o a un punto final de la computadora. La información de sujeto también puede incluir nombres DNS o direcciones IP como nombres alternativos de sujeto por los que también se conoce el portador del certificado. Puede utilizar comodines para emitir un certificado para varios nombres de dominio o subdominio.
    9. (Opcional) Para agregar más nombres alternativos de sujeto, seleccione + otro nombre alternativo de sujeto, seleccione el tipo de dirección y, a continuación, introduzca el nombre. Cuando esté listo, seleccione Siguiente.
    10. Seleccione un tipo de perfil de certificado de los siguientes perfiles según el uso previsto del certificado:
      • Servidor o cliente TLS: presentado por un servidor o cliente para conexiones TLS/SSL.
      • Servidor TLS: presentado por un servidor para conexiones TLS/SSL.
      • Cliente TLS: presentado por un cliente durante las conexiones TLS/SSL.
      • Firma de código TLS: presentada por un programa para validar su firma.
    11. Para cambiar la CA que emite el certificado, seleccione Autoridad de certificación del emisor y, a continuación, seleccione una CA. Si es necesario, seleccione Cambiar compartimento y, a continuación, seleccione un compartimento diferente si la CA está en un compartimento diferente al seleccionado para el certificado.
    12. (Opcional) Seleccione No válido antes de y, a continuación, introduzca una fecha antes de la cual el certificado no se puede utilizar para validar la identidad de su portador. Si no especifica una fecha, el período de validez del certificado comienza inmediatamente. Los valores se redondean al segundo más cercano.
    13. Seleccione No válido después de y, a continuación, cambie la fecha después de la cual el certificado ya no es una prueba válida de la identidad de su portador. Debe especificar una fecha al menos un día posterior a la fecha de inicio del período de validez. La fecha no debe superar la caducidad de la autoridad de certificación emisora. Tampoco puede especificar una fecha posterior al 31 de diciembre de 2037. Los valores se redondean al segundo más cercano. Normalmente, los certificados se utilizan durante todo el período de validez, a menos que suceda algo que requiera revocación.
    14. En Algoritmo de clave, seleccione la combinación de algoritmo y longitud de clave que necesita para el par de claves de certificado de las siguientes opciones:
      • RSA2048: clave Rivest-Shamir-Adleman (RSA) de 2048 bits
      • RSA4096: clave RSA de 4096 bits
      • ECDSA_P256: clave de algoritmo de firma digital de criptografía de curva elíptica (ECDSA) con un ID de curva P256
      • ECDSA_P384: clave ECDSA con un ID de curva P384
    15. (Opcional) Seleccione Mostrar campos adicionales y, a continuación, en Algoritmo de firma, seleccione uno de los siguientes algoritmos de firma, según la clave:
      • SHA256_WITH_RSA: clave Rivest-Shamir-Adleman (RSA) con una función hash SHA-256
      • SHA384_WITH_RSA: clave RSA con una función hash SHA-384
      • SHA512_WITH_RSA: clave RSA con una función hash SHA-512
      • SHA256_WITH_ECDSA: clave de algoritmo de firma digital de criptografía de curva elíptica (ECDSA) con una función hash SHA-256
      • SHA384_WITH_ECDSA: clave ECDSA con una función hash SHA-384
      • SHA512_WITH_ECDSA: clave ECDSA con una función hash SHA-512

        Cuando esté listo, seleccione Siguiente.

    16. Para configurar la renovación automática del certificado para evitar la interrupción en su uso, especifique un valor distinto de cero para la siguiente configuración:
      • Intervalo de renovación (días): con qué frecuencia se renueva el certificado
      • Período de renovación avanzado (días): número de días antes de que caduque el certificado esa renovación.
      Para una máxima flexibilidad, renovar el certificado antes del final de su período de validez y con suficiente tiempo de renovación anticipada en caso de fallos. Un certificado que caduca antes de que el servicio pueda renovarlo correctamente puede provocar interrupciones en el servicio.
      Cuando esté listo, seleccione Siguiente.
    17. Verifique que la información es correcta y, a continuación, seleccione Crear certificado.
      Puede tardar un poco en crear recursos relacionados con certificados.

  • Utilice el comando oci certs-mgmt certificate create-certificate-issued-by-internal-ca y los parámetros necesarios para crear un certificado emitido por el servicio Certificates:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Por ejemplo:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Para obtener una lista completa de indicadores y opciones de variables para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación CreateCertificate para crear un certificado que planea gestionar internamente.