Documentation sur Oracle Cloud Infrastructure

Apporter votre propre autorité de certification

L'option Utiliser sa propre autorité de certification (BYOCA) pour les certificats OCI permet aux entreprises d'intégrer leur infrastructure d'autorité de certification existante directement dans OCI tout en gardant le contrôle total de leurs clés privées.

Les entreprises exploitent aujourd'hui des environnements PKI matures et profondément enracinés qui prennent en charge des milliers d'applications, de mandats réglementaires et de chaînes de confiance de longue date. La reconstruction de cette hiérarchie dans le nuage est coûteuse, risquée et rarement possible. Les clients ont besoin d'un moyen sécurisé et prévisible de connecter leurs autorités de certification racines existantes à OCI, d'assurer la continuité de la confiance et d'adopter l'automatisation du nuage sans perturber l'exploitation.

BYOCA est construit précisément pour cela.

Apporter votre propre autorité de certification racine

Vous pouvez importer une autorité de certification racine externe dans des certificats OCI en fournissant le certificat (PEM), sans jamais charger vos clés privées. OCI enregistre l'autorité de certification en tant qu'autorité de certification racine gérée en externe, en maintenant la confiance avec une infrastructure de clé publique existante tout en vous assurant que les clés restent sous votre contrôle uniquement.

Pour importer votre autorité de certification racine, procédez comme suit :

  1. Dans la console OCI, ouvrez le menu principal (☰ menu hamburger) et allez à Identité et sécurité, puis sélectionnez Certificats.
  2. Sous Autorités de certification, sélectionnez Importer une autorité de certification.
  3. Enter the Name and Description.
  4. Sélectionnez le compartiment de votre autorité de certification racine.
  5. Chargez ou collez votre fichier PEM de certificat de l'autorité de certification racine dans OCI. Ajoutez une description de clé externe.
  6. Sélectionnez Importer.
Note

Pour plus de détails sur l'importation de votre certificat, voir : Importation de votre propre autorité de certification

Création d'une autorité de certification subordonnée gérée par OCI

Après avoir importé votre autorité de certification racine, générez une demande de signature de certificat dans OCI. Pour créer une nouvelle autorité de certification subordonnée (subCA), sélectionnez Autorité de certification subordonnée : Autorité de certification externe émise, gérée à l'interne dans la boîte de dialogue Créer une autorité de certification. Signez ensuite cette demande de signature de certificat à l'externe à l'aide de vos clés d'autorité de certification racine existantes et rechargez le certificat signé dans OCI. À ce stade, le service de certificats OCI active l'autorité de certification subordonnée et la gère en votre nom, à l'aide de clés stockées de manière sécurisée dans le service de gestion des clés OCI. L'autorité de certification subordonnée a besoin d'une clé soutenue par le module de sécurité matériel (HSM).

Étapes de création d'une autorité de certification subordonnée

Pour créer une autorité de certification subordonnée, procédez comme suit :

  1. Importer l'autorité de certification racine externe dans OCI. Voir la section précédente.
  2. Naviguez jusqu'à la page de liste Autorités de certification, sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des autorités de certification.
  3. Sous Informations de base, entrez le nom et la description.
  4. Sélectionnez le compartiment de l'autorité de certification racine.
  5. Sélectionnez Autorité de certification subordonnée émise, gérée à l'interne.

Remplissez les autres sections de la boîte de dialogue AC.

(1) Informations sur le sujet

Informations sur le sujet : Entrez le nom commun qui identifie l'autorité de certification subordonnée créée dans la hiérarchie de certificats de l'organisation.

Remplissez les options de nom distinctif de sujet supplémentaires requises.

(2) Configuration de l'autorité

Configuration de l'autorité :
  • Sélectionnez :
    • Compartiment : Compartiment cible de l'autorité de certification racine.
    • Autorité de certification de l'émetteur : Autorité de certification racine externe importée qui sert d'autorité parent pour cette autorité de certification subordonnée.
  • Sélectionnez :
    • Compartiment : Compartiment cible pour la chambre forte.
    • Chambre forte : Chambre forte qui stocke la clé.
  • Sélectionnez :
    • Compartiment : Compartiment cible de la clé.
    • Clé : Clé de l'autorité de certification.

(3) Règles

Voici la marche à suivre pour configurer des règles :

  1. Règle d'expiration : Activé. Valeur par défaut.
    • Durée de validité maximale pour le certificat : La valeur recommandée est de 90 jours.
    • Durée de validité maximale pour l'autorité de certification subordonnée : La valeur recommandée est de 1095 jours (3 ans).

    Modifiez les périodes de validité en fonction des exigences de l'organisation.

  2. Règle d'émission : Activé. Valeur par défaut.
    • Contrainte de longueur de chemin : Spécifiez la longueur.
    • Contrainte de nom : Définissez toutes les contraintes de nom qui définissent les noms d'objet/SAN des certificats que cette autorité de certification est autorisée à émettre.
    Pour configurer les règles d'émission, spécifiez la longueur de chemin autorisée et toutes les contraintes de nom qui définissent les noms d'objet/SAN de certificats que cette autorité de certification est autorisée à émettre.

(4) Configuration de révocation

Vous pouvez configurer un emplacement pour la publication d'une liste de révocation de certificats. Une liste de révocation de certificats spécifie les versions d'une autorité de certification ou d'un certificat considéré comme n'étant plus digne de confiance et invalide avant la fin de leur période de validité. Les paramètres de révocation peuvent être mis à jour à tout moment.

  • Activer la révocation : Activé. Valeur par défaut.
  • Compartiment : Compartiment du seau de stockage d'objets.
  • Seau de stockage d'objets : Sélectionnez le seau cible.
  • Format de nom d'objet : Spécifiez un format pour les fichiers d'objet.
  • URL formatée personnalisée : Spécifiez une URL formatée personnalisée en tant que point de distribution CRL (CDP).

Vérifier

Vérifiez vos options de configuration. Sélectionnez Créer une autorité de certification.

Cela crée une entité d'autorité de certification subordonnée dans OCI.

Étapes d'activation d'une autorité de certification subordonnée

Pour activer l'autorité de certification subordonnée, suivez ces étapes

  1. Naviguez jusqu'à la page de liste Autorités de certification. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des autorités de certification.
  2. Sélectionnez l'autorité de certification subordonnée récemment créée.
  3. Allez à l'onglet Versions. Sous l'étape Pending_Activation. Sélectionnez le menu Actions (trois points) pour la version et sélectionnez Télécharger la demande de signature de certificat.
  4. Prenez le CSR téléchargé et signez-le avec votre CA externe.
  5. Retournez dans le même onglet Versions (Versions) et sélectionnez Activate (Activer). Chargez le certificat signé et sélectionnez Activer.

Le résultat après la création et l'activation de votre autorité de certification :

  • Une autorité de certification subordonnée pleinement opérationnelle
  • Option flexible de clés privées générées ou importées dans le service de gestion des clés pour OCI
  • Gestion complète du cycle de vie OCI et émission de certificats directement à partir de SubCA.

Vous pouvez également importer leurs propres paires de clés asymétriques pour des autorités de certification subordonnées directement dans le service de gestion des clés pour OCI, ce qui leur donne une plus grande flexibilité dans la façon dont les clés sont créées et contrôlées.

Sommaire

Avec BYOCA, vous pouvez :

  • Étendre une hiérarchie d'autorité de certification racine existante à OCI sans exposer les clés privées.
  • Créer des autorités de certification subordonnées gérées par OCI à l'aide des CSR signées par la racine externe.
  • Émettez des certificats directement à partir des autorités de certification subordonnées gérées par OCI à l'aide de clés sécurisées soutenues par le service de gestion des clés.
  • Cela comble l'écart entre vos investissements actuels en PKI et les avantages d'automatisation et d'évolutivité d'OCI.

Les avantages sont les suivants :

  • Souplesse accrue : Tirez parti de vos infrastructures, politiques et modèles de gouvernance de l'autorité de certification existants dans OCI sans nouvelle conception.
  • Interopérabilité accrue : Connecter facilement les environnements hybrides. BYOCA facilite l'exécution de charges de travail réparties sur place, sur plusieurs nuages et sur OCI.
  • Conformité plus stricte : L'alignement BYOCA prend en charge la séparation stricte des modèles de tâches, des exigences réglementaires et des mandats de vérification tandis qu'OCI gère le cycle de vie opérationnel des autorités de certification subordonnées dans une plate-forme sécurisée et conforme.
  • Options de sécurité plus fortes : Déterminez où vivent les clés et comment elles sont gérées. Maintenir le contrôle total des clés racines pendant qu'OCI gère le fardeau opérationnel des autorités de certification subordonnées.