Gestión de autoridades de certificación
Utilice Certificates para crear y gestionar las autoridades de certificación que emiten certificados digitales.
Entre las tareas de gestión de la autoridad de certificación (CA) se incluyen las siguientes:
- Enumeración de las autoridades de certificación
- Creación de una autoridad de certificación
- Emisión de una autoridad de certificación subordinada
- Visualización de los detalles de autoridad de certificación
- Edición de una autoridad de certificación
- Edición de una lista de revocaciones de certificados
- Edición de reglas de autoridades de certificación
- Visualización de las asociaciones de autoridad de certificación
- Renovación de una autoridad de certificación
- Movimiento de una autoridad de certificación
- Supresión de una autoridad de certificación
- Cancelación de una supresión de autoridad de certificación
Cada autoridad de certificación tiene una o más versiones de autoridad de certificación. Como tal, la gestión de autoridades de certificación también incluye las siguientes tareas específicas de las versiones de autoridades de certificación:
- Enumeración de las versiones de la autoridad de certificación
- Visualización de los detalles de una versión de autoridad de certificación
- Visualización de grupos de versiones de autoridades de certificación
- Definición de una versión de autoridad de certificación como la actual
- Revocación de una versión de autoridad de certificación (solo se admite para CA subordinadas)
- Supresión de una versión de autoridad de certificación
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política (IAM) . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que le indica que no tiene permiso o no está autorizado, verifique con su administrador el tipo de acceso y en qué compartimento debe trabajar.
Para algunas operaciones, el servicio Certificates también requiere que los recursos tengan acceso de seguridad no otorgado por políticas que abarquen usuarios o grupos. En esta sección, se describe cómo autorizar usuarios y recursos que deben actuar en otros recursos.
Paso 1: Crear un grupo dinámico
resource.type='certificateauthority'Esta regla de coincidencia define un grupo dinámico que incluye todas las autoridades de certificación como miembros. Necesita este grupo dinámico para autorizar que las autoridades de certificación realicen llamadas de API en otros servicios, según sea necesario. Las CA normalmente necesitan permiso para acceder a los recursos de Oracle Cloud Infrastructure Vault y Oracle Cloud Infrastructure Object Storage. Para obtener más información sobre los grupos dinámicos, consulte Gestión de grupos dinámicos.
Paso 2: Crear una política para el grupo dinámico
Después de crear el grupo dinámico, cree una política para el grupo dinámico. En la siguiente política, el grupo dinámico tiene el nombre de ejemplo CertificateAuthority-DG. La política proporciona a los miembros del grupo dinámico permiso para utilizar claves de Vault y para realizar cualquier acción con objetos de Object Storage en los compartimentos de ejemplo especificados. Este tipo de política se denomina política entidad de recurso porque autoriza a un recurso como actor principal que puede actuar en otros recursos.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZPaso 3: Agregar una política para los administradores
También necesita una política para autorizar a los administradores a acceder a los recursos. La siguiente política otorga permiso al grupo de ejemplo CertificateAuthorityAdmins para realizar cualquier acción con cualquier recurso incluido en el tipo de recurso agregado certificate-authority-family y para trabajar con los recursos de Vault y Object Storage necesarios en los compartimentos de ejemplo especificados, según sea necesario. Esto incluye los permisos necesarios para especificar la clave de cifrado para la CA.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFEn conjunto, estas sentencias proporcionan el acceso mínimo necesario para completar tareas administrativas con las autoridades de certificación, como se describe más adelante en este tema. Para obtener más información sobre los permisos o si necesita escribir políticas menos restrictivas, consulte Detalles del servicio Certificates. Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.