Création d'une autorité de certification
Utilisez le service Certificats pour créer une autorité de certification racine ou une autorité de certification subordonnée.
Vous devez déjà avoir une autorité de certification racine pour créer une autorité de certification subordonnée.
Vous devez disposer du niveau d'accès de sécurité approprié pour créer une autorité de certification. Pour plus d'informations, voir Politique IAM requise.
Pour créer une autorité de certification, vous devez avoir accès à une clé de chiffrement asymétrique protégée par matériel existante à partir du service de chambre forte pour Oracle Cloud Infrastructure (OCI). Pour plus d'informations, voir Aperçu du service de chambre forte.
Lorsque vous créez une autorité de certification avec une liste de révocation de certificats, vous pouvez spécifier un seau de stockage d'objets OCI dans lequel vous voulez stocker cette liste. Le seau doit exister au moment de la création de l'autorité de certification. Il doit s'agir d'un compartiment dédié que vous n'utilisez à aucune autre fin ni pour stocker la liste de révocation de certificats d'une autre autorité de certification.
Dans la page de liste Autorités de certification, sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste ou l'autorité de certification, voir Liste des autorités de certification. Le panneau Créer une autorité de certification s'ouvre.
La création d'une autorité de certification comprend les pages suivantes :
- Informations de base
- Informations sur le sujet
- Configuration de l'autorité
- Règles
- Configuration de révocation
- Sommaire
Exécutez chacun des flux de travail suivants dans l'ordre. Pour retourner à une page précédente, sélectionnez Précédent.
Informations de base
Entrez les informations suivantes :
- Nom : Entrez le nom du certificat. Aucune autorité de certification de la location ne peut partager le même nom, y compris les autorités de certification en attente de suppression.
- Description : (Facultatif) Entrez une description pour l'autorité de certification.
- Compartiment : Sélectionnez dans la liste le compartiment dans lequel réside l'autorité de certification.
- Type d'autorité de certification : Sélectionnez une des options suivantes :
- Autorité de certification racine : Crée une autorité de certification (autorité de certification) qui émet des certificats numériques et gère leur révocation. Une autorité de certification contient généralement d'autres autorités de certification avec des relations parent-enfant définies entre elles. L'autorité de certification en haut d'une hiérarchie est appelée autorité de certification racine.
- Autorité de certification subordonnée : Crée une autorité de certification subordonnée qui est une entité intermédiaire au sein d'une hiérarchie d'autres entités de ce type qui émet des certificats numériques.
- Autorité de certification subordonnée : Autorité de certification externe émise, gérée à l'interne : Crée une autorité de certification subordonnée émise par l'autorité de certification racine externe, mais gérée à l'interne (clés stockées) dans le module de sécurité matériel OCI. Créez une demande de signature de certificat ici et terminez la délivrance par l'intermédiaire de votre autorité de certification externe.
Marquage
Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
Sélectionnez Suivant.
Informations sur le sujet
La page Informations sur le sujet comprend au moins un nom commun identifiant le responsable du certificat de l'autorité de certification. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou un point d'extrémité d'ordinateur. Le format des informations sur le sujet doit être conforme aux normes RFC 5280. Vous pouvez utiliser des caractères génériques pour émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
Entrez les informations suivantes :
- Nom commun : Entrez un nom commun.
Champs supplémentaires
Entrez les informations demandées, telles que le nom, l'adresse et l'organisation de l'objet. Pour plus de détails sur chacune des valeurs d'un nom distinctif de sujet, voir le document RFC 5280.
Sélectionnez Suivant.
Configuration de l'autorité
Entrez les informations suivantes :
- Compartiment de l'autorité de certification de l'émetteur : (Autorité de certification subordonnée uniquement) Sélectionnez le compartiment contenant l'autorité de certification parent à laquelle vous souhaitez émettre l'autorité de certification subordonnée que vous créez.
- Autorité de certification de l'émetteur : (Autorité de certification subordonnée uniquement) Sélectionnez l'autorité de certification subordonnée souhaitée. Les autorités de certification subordonnées listées sont celles contenues dans le compartiment d'autorité de certification de l'émetteur que vous avez sélectionné. Si vous avez choisi Autorité de certification subordonnée : Autorité de certification externe émise, gérée à l'interne, assurez-vous de choisir votre racine externe comme RootCA parent.
- Non valide avant le : Entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier avant laquelle l'autorité de certification ne peut pas être utilisée pour valider l'identité de son porteur. Si vous ne spécifiez pas de date, la période de validité de l'autorité de certification commence immédiatement.
- Heure : Entrez l'heure (hh:mm) en UTC pour le jour que vous avez spécifié que l'autorité de certification n'est pas valide avant.
- Non valide après le : Entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier après quoi l'autorité de certification n'est plus une preuve valide de l'identité de son porteur. Vous devez spécifier une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être postérieure à l'expiration de l'autorité de certification émettrice.
Vous ne pouvez pas spécifier une date postérieure au 31 décembre 2037. En général, les autorités de certification sont utilisées pendant toute leur période de validité, à moins que quelque chose ne rende la révocation nécessaire. La valeur par défaut est de trois mois après la création de l'autorité de certification.
- Heure : Entrez l'heure (hh:mm) en UTC pour le jour où vous avez spécifié que l'autorité de certification n'est pas valide après.
- Chambre forte dans le compartiment : Sélectionnez le compartiment contenant la chambre forte qui contient la clé de chiffrement à utiliser pour le certificat de l'autorité de certification.
- Chambre forte dans : Sélectionnez la chambre forte qui contient la clé de chiffrement à utiliser pour le certificat d'autorité de certification. Les chambres fortes listées sont celles contenues dans le compartiment de chambre forte que vous avez sélectionné.
- Clé dans le compartiment : Sélectionnez le compartiment contenant la clé de chiffrement dans la chambre forte que vous voulez utiliser pour le certificat de l'autorité de certification.
- Clé dans : Sélectionnez la clé à utiliser. La liste contient uniquement les clés asymétriques de la chambre forte, car le service de certificats ne prend en charge que ce type de clé. Vous pouvez sélectionner des clés Rivest-Shamir-Adleman (RSA) de 2 048 bits ou 4 096 bits.
Vous pouvez également sélectionner des clés ECDSA avec l'ID courbe elliptique NIST_P384. La liste comprend uniquement les types de clé asymétrique protégée par un module de sécurité matériel. Le service de certificats ne prend pas en charge l'utilisation des clés protégées par le logiciel. Pour des informations sur la création et la gestion de clés, voir Gestion des clés.
- Algorithme de signature : Sélectionnez l'une des options suivantes, selon la famille d'algorithmes de clé :
- SHA256_WITH_RSA : Clé RSA avec fonction de hachage SHA-256.
- SHA384_WITH_RSA : Clé RSA avec fonction de hachage SHA-384.
- SHA512_WITH_RSA : Clé RSA avec fonction de hachage SHA-512.
- SHA256_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-256.
- SHA384_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-384.
- SHA512_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-512.
Sélectionnez Suivant.
Règles
La page Règles vous permet de configurer des règles pour appliquer des contraintes à cette autorité de certification et aux ressources que vous émettez à partir de celle-ci.
Règle d'expiration
Vous pouvez spécifier la durée maximale pendant laquelle un certificat ou une autorité de certification subordonnée émis par ce certificat est valide. Les modifications s'appliquent uniquement aux nouveaux certificats et à la nouvelle autorité de certification subordonnée que vous définissez après avoir apporté les modifications.
Activez la règle d'expiration pour configurer les paramètres suivants :
- Durée de validité maximale pour les certificats (jours) : Spécifiez la durée maximale pendant laquelle un certificat émis par cette autorité de certification peut être valide.
- Durée de validité maximale pour une autorité de certification subordonnée (jours) : Spécifiez le nombre maximal de jours pendant lesquels une autorité de certification générée par cette autorité de certification peut émettre d'autres autorités de certification ou des certificats. La valeur recommandée est de 1095 jours (3 ans).
Règle d'émission
Vous pouvez spécifier des règles d'émission pour appliquer certaines conditions relatives aux ressources émises par cette autorité de certification. Une contrainte de longueur de chemin limite le nombre d'autorités de certification subordonnées qu'une autorité de certification peut avoir. Une contrainte de nom sur les noms de sujet de certificat spécifie les espaces de noms autorisés pour les formulaires de nom hiérarchiques dans les certificats émis par toute autorité de certification de cette chaîne de certificats. Les règles d'émission ne peuvent pas être mises à jour plus tard.
Activez la règle d'émission pour configurer les paramètres suivants :
- Contrainte de longueur de chemin : Sélectionnez la longueur maximale (0 à 10) pour les autorités de certification subordonnées.
- Sous-arbres exclus : Spécifiez le type et la valeur pour bloquer certains espaces de noms. Sélectionnez Ajouter un sous-arbre exclu pour créer une autre entrée.
- Sous-arbres autorisés : Spécifiez le type et la valeur pour autoriser certains espaces de noms. Sélectionnez Ajouter un sous-arbre autorisé pour créer une autre entrée.
Sélectionnez Suivant.
Configuration de révocation
La page Configuration de la révocation vous permet de configurer un emplacement pour la publication d'une liste de révocation de certificats. Une liste de révocation de certificats spécifie les versions d'une autorité de certification ou d'un certificat considéré comme n'étant plus digne de confiance et invalide avant la fin de leur période de validité. Vous pouvez stocker une liste de révocation de certificats dans un seau de stockage d'objets ou spécifier une URL formatée personnalisée en tant que point de distribution de liste de révocation de certificats. Les paramètres de révocation peuvent être mis à jour à tout moment.
Activez Révocation pour configurer les paramètres suivants :
- Compartiment du seau de stockage d'objets : Sélectionnez le compartiment contenant le seau de stockage d'objets où vous pouvez stocker une liste de révocation de certificats.
- Seau de stockage d'objets : Sélectionnez le seau de stockage d'objets de votre choix. Les seaux qui s'affichent sont ceux contenus dans le compartiment que vous avez sélectionné.
- Format de nom d'objet : Spécifiez le nom de l'objet. Vous pouvez inclure des parenthèses dans le nom de l'objet pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout permet d'éviter le remplacement d'une liste de révocation de certificats existante lorsque vous créez une autre version d'autorité de certification. Pour plus d'informations sur les noms d'objet, voir Noms d'objet.
Formats d'URL personnalisés
Entrez l'URL à utiliser avec les API pour accéder à l'objet. Cette URL est désignée dans les certificats en tant que point de distribution de liste de révocation de certificats (CDP). Vous pouvez inclure des orthèses dans l'URL pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout évite de remplacer un CDP existant lorsque vous créez une autre version d'autorité de certification. Vous ne pouvez spécifier une URL HTTPS que si aucune dépendance circulaire n'existe dans la vérification de la chaîne HTTPS.
Pour fournir un autre CDP, sélectionnez + Autre URL, puis fournissez une autre URL où les utilisateurs peuvent accéder à la liste de révocation de certificats.
Sélectionnez Suivant.
Sommaire
Vérifiez le contenu de la page Sommaire. Sélectionnez Modifier pour ajouter ou modifier des informations dans la page associée. Lorsque les paramètres sont entièrement vérifiés, sélectionnez Créer une autorité de certification.
L'autorité de certification que vous avez créée s'affiche dans la page de liste Autorités de certification.
La commande à utiliser dépend de la création d'une autorité de certification racine ou d'une autorité de certification subordonnée.
Utilisez la commande oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details et les paramètres requis pour créer une autorité de certification racine :
oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]Par exemple :
oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>Pour créer une autorité de certification subordonnée, utilisez la commande oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca et les paramètres requis :
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]Par exemple :
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.
Exécutez l'opération CreateCertificateAuthority pour créer une autorité de certification.