Documentation sur Oracle Cloud Infrastructure

Création d'une autorité de certification

Utilisez le service de certificats pour créer une autorité de certification racine ou une autorité de certification subordonnée.

Vous devez déjà avoir une autorité de certification racine pour créer une autorité de certification subordonnée.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer une autorité de certification. Pour plus d'informations, voir Politique IAM requise.

La création d'une autorité de certification nécessite que vous ayez accès à une clé de chiffrement asymétrique protégée par le matériel existante à partir du service de chambre forte pour Oracle Cloud Infrastructure (OCI). Pour plus d'informations, voir Aperçu du service de chambre forte.

Lorsque vous créez une autorité de certification avec une liste de révocation de certificats, vous pouvez spécifier un seau de stockage d'objets OCI dans lequel vous voulez stocker cette liste. Le seau doit exister au moment de la création de l'autorité de certification. Il doit s'agir d'un seau dédié que vous n'utilisez à aucune autre fin ni pour stocker la liste de révocation de certificats d'une autre autorité de certification.

    1. Dans la page de liste Autorités de certificat, sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des autorités de certification.
    2. Sélectionnez Compartiment, puis sélectionnez le compartiment dans lequel créer l'autorité de certification.
    3. Sous Type d'autorité de certification, sélectionnez le type d'autorité de certification parmi les suivants :
      • Autorité de certification racine : Autorité de certification au sommet de la hiérarchie dans une chaîne d'autorités de certification.
      • Autorité de certification subordonnée : Toute autorité de certification qui n'est pas l'autorité de certification racine dans une hiérarchie contenant d'autres autorités de certification.
    4. Entrez un nom d'affichage unique pour l'AC. Ce nom vous aide à identifier l'AC à des fins administratives, mais il ne figure pas dans le certificat de l'AC. Évitez d'entrer des informations confidentielles.
      Note

      Deux autorités de certification de la location ne peuvent pas partager le même nom, y compris les autorités de certification en attente de suppression.
    5. (Facultatif) Entrez une description pour faciliter l'identification de l'autorité de certification. (Cette description vous aide à identifier l'autorité de certification, mais elle ne figure pas dans le certificat de l'autorité de certification). Évitez d'entrer des informations confidentielles.
    6. (Facultatif) Pour appliquer des marqueurs, sélectionnez Afficher les options de marquage. Pour plus d'informations sur les marqueurs, voir Marqueurs de ressource.
    7. Sélectionnez Suivant.
    8. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent au moins un nom commun identifiant le responsable du certificat de l'autorité de certification. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou un point d'extrémité d'ordinateur. Le format des informations sur le sujet doit être conforme aux normes RFC 5280. Vous pouvez utiliser des caractères génériques pour émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    9. (Facultatif) Pour fournir plus d'informations sur le sujet de l'autorité de certification, sélectionnez Afficher les champs supplémentaires. Pour plus de détails sur chacune des valeurs d'un nom distinctif d'objet, voir le document RFC 5280.
    10. Lorsque vous êtes prêt, sélectionnez Suivant.
    11. (Facultatif) Sélectionnez Non valide avant le, puis spécifiez l'heure et la date UTC auxquelles vous voulez commencer à utiliser l'autorité de certification. Si vous ne spécifiez pas de date, la période de validité de l'autorité de certification commence immédiatement.
    12. Sélectionnez Non valide après le, puis spécifiez la date après laquelle l'autorité de certification ne peut plus être utilisée pour définir ou valider des autorités de certification subordonnées ou des certificats. (Vous devez spécifier une date postérieure d'au moins un jour à la date de début de la période de validité. Vous ne pouvez pas spécifier une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde près.)
    13. Si vous créez une autorité de certification subordonnée, sous Autorité de certification de l'émetteur, spécifiez une autorité de certification parent pour émettre cette autorité. Si vous créez une autorité de certification racine, passez à l'étape suivante.
    14. Sous Chambre forte, sélectionnez la chambre forte qui contient la clé de chiffrement à utiliser pour le certificat de l'autorité de certification. Facultativement, sélectionnez Changer de compartiment pour spécifier un autre compartiment. Pour plus d'informations sur la création et la gestion des chambres fortes, voir Gestion des chambres fortes.
    15. Sous Clé, sélectionnez la clé dans la chambre forte à utiliser. La liste contient uniquement les clés asymétriques de la chambre forte, car le service de certificats ne prend en charge que ce type de clé. Vous pouvez sélectionner des clés Rivest-Shamir-Adleman (RSA) de 2 048 bits ou 4 096 bits. Vous pouvez également sélectionner des clés ECDSA avec l'ID courbe elliptique NIST_P384. Concrètement, seuls les types de clé asymétrique protégée par un module de sécurité matériel figurent dans la liste. Le service de certificats ne prend pas en charge l'utilisation des clés protégées par le logiciel. Pour des informations sur la création et la gestion de clés, voir Gestion des clés.
    16. Sous Algorithme de signature, sélectionnez l'une des options suivantes, selon la famille d'algorithmes de clé :
      • SHA256_WITH_RSA : Clé RSA avec fonction de hachage SHA-256
      • SHA384_WITH_RSA : Clé RSA avec fonction de hachage SHA-384
      • SHA512_WITH_RSA : Clé RSA avec fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    17. Configurez la règle d'expiration. Sous Durée de validité maximale pour les certificats (jours), spécifiez le nombre maximal de jours pendant lesquels un certificat émis par cette autorité de certification peut être valide. Il est vivement recommandé que la période de validité n'excède pas 90 jours.
    18. Sous Durée de validité maximale pour une autorité de certification subordonnée (jours), spécifiez le nombre maximal de jours pendant lesquels une autorité de certification créée par cette autorité de certification peut définir d'autres autorités de certification ou des certificats. Lorsque vous êtes prêt, sélectionnez Suivant.
    19. Dans la page Configuration de révocation, si vous ne voulez pas configurer une liste de révocation de certificats, cochez la case Omettre la révocation. Pour configurer la révocation de certificat, décochez la case, puis spécifiez un seau de stockage d'objets dédié dans lequel vous prévoyez de stocker la liste de révocation de certificats.
    20. (Facultatif) Sélectionnez Changer de compartiment pour rechercher un seau dans un autre compartiment.
    21. Sous Format de nom d'objet, spécifiez le nom de l'objet. Vous pouvez inclure des accolades dans le nom de l'objet pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout permet d'éviter le remplacement d'une liste de contrôle de crédit existante lorsque vous créez une autre version de l'autorité de certification. Pour plus d'informations sur les noms d'objet, voir Noms d'objet.
    22. (Facultatif) Sous URL formatées personnalisées, indiquez l'URL à utiliser avec les API pour accéder à l'objet. Cette URL est désignée dans les certificats en tant que point de distribution de liste de révocation de certificats (CDP). Vous pouvez inclure des accolades dans l'URL pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout évite de remplacer un CDP existant lorsque vous créez une autre version de l'autorité de certification. Vous ne pouvez spécifier une URL HTTPS que si aucune dépendance circulaire n'existe dans la vérification de la chaîne HTTPS.
    23. (Facultatif) Pour fournir un autre CDP, sélectionnez + Une autre URL, puis fournissez une autre URL où les utilisateurs peuvent accéder à la liste de révocation de certificats.
    24. Lorsque vous êtes prêt, sélectionnez Suivant.
    25. Vérifiez que les informations sont correctes, puis sélectionnez Créer une autorité de certification.
      La création de ressources liées aux certificats peut prendre du temps.

  • La commande de création diffère selon qu'il s'agit d'une autorité de certification racine ou d'une autorité de certification subordonnée.

    Utilisez la commande oci certs-mgmt Certificate-authority create-root-CA-by-generating-config-details et les paramètres requis pour créer une autorité de certification racine :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour créer une autorité de certification subordonnée, utilisez la commande oci certs-mgmt Certificate-authority create-subordinate-CA-issued-by-internal-CA et les paramètres requis :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateCertificateAuthority pour créer une autorité de certification.