Documentation sur Oracle Cloud Infrastructure

Signer la RSE

Voyez comment signer une demande de signature de certificat (CSR) dans le cadre d'une initialisation de grappe de module de sécurité matériel dans OCI Dedicated Key Management.

Préalable : Cette tâche est terminée après le téléchargement de la demande de signature de certificat, comme décrit dans Téléchargement d'une demande de signature de certificat.

Pour signer, vous devez d'abord créer un certificat de signature auto-signé et l'utiliser pour signer la demande de signature de certificat. Pour signer, vous devez effectuer les tâches suivantes :
  1. Générez une paire de clés RSA pour votre ressource de cluster HSM. Cette clé est appelée clé de propriétaire de partition (PO). Assurez-vous de stocker la clé et la phrase secrète dans un emplacement sécurisé tel qu'une chambre forte KMS. Vous pouvez utiliser la clé pour signer la partition CSR que vous avez téléchargée à l'étape précédente.
    $ openssl genrsa -aes256 -out customerPO.key 
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for customerPO.key:
Verifying - Enter pass phrase for customerPO.key:
  2. Utilisez la clé de propriétaire de partition (customerPO.key) pour générer un certificat de propriétaire de partition (partitionOwnerCert.pem). La commande suivante génère le certificat valide seulement pendant dix ans. Vous pouvez modifier la date d'expiration si nécessaire, mais l'expiration doit être d'au moins 5 ans. Le certificat du propriétaire de la partition doit être partagé avec les utilisateurs du système de gestion des clés dédié.
    $ openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem
Enter pass phrase for customerPO.key:
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:SJ
Organization Name (eg, company) []:Oracle
Organizational Unit Name (eg, section) []:Sec
Common Name (eg, fully qualified host name) []:kms
Email Address []:
  3. Signez le CSR (partitionCsr .csr) à l'aide de la clé de responsable de partition (customerPO.key) et de partitionOwnerCert.pem (créée lors des étapes précédentes) pour générer partitionCert.pem.
    $ openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem
Signature ok
subject=/C=US/ST=CA/L=Default City/O=Default Company Ltd/CN=user1
Getting CA Private Key
Enter pass phrase for customerPO.key:
$ ls
customerPO.key  partitionCert.pem  partitionOwnerCert.pem  partitionOwner.srl
  4. Encodez partitionCert.pem et partitionOwnerCert.pem pour baser 64 à l'aide des commandes ci-dessous. (Cette étape n'est requise que pour l'interface de ligne de commande).
  5. Chargez les certificats partitionCert.pem et partitionOwnerCert.pem dans la grappe du module de sécurité matériel.
    openssl base64 -A -in partitionCert.pem
openssl base64 -A -in partitionOwnerCert.pem