Création d'un certificat

Créez un certificat à gérer en interne, y compris la clé privée du certificat.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer un certificat. Pour plus d'informations, voir Politique IAM requise.

Vous pouvez créer un certificat de plusieurs façons, notamment en utilisant le service Certificats pour émettre un certificat et en important un certificat émis par une autorité de certification tierce. Pour connaître les étapes d'importation d'un certificat, voir Importation d'un certificat.

De multiples façons de gérer un certificat ont également une incidence sur le processus de création. Lorsque vous émettez un certificat, vous pouvez générer et gérer la clé privée en interne en utilisant la même autorité de certification pour tout gérer. Vous pouvez également générer une demande de signature de certificat et une clé privée sur le serveur sur lequel vous prévoyez d'installer le certificat, puis soumettre cette demande à une autorité de certification pour qu'elle émette un certificat, tout en gérant la clé privée à l'extérieur. Cette tâche décrit comment émettre un certificat que vous prévoyez de gérer en interne. Pour savoir comment émettre un certificat que vous gérez à l'extérieur à l'aide d'une autorité de certification de tierce partie, voir Création d'un certificat géré à l'extérieur.

    1. Dans la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des certificats.
    2. Sous Compartiment, sélectionnez le compartiment dans lequel créer le certificat. Le certificat peut exister dans le même compartiment que l'autorité de certification, ou dans un autre.
    3. Sous Type de certificat, pour émettre un certificat à partir d'une autorité de certification du service de certificats qui gère ensuite également le certificat, sélectionnez Émis par une autorité de certification interne.
    4. Entrez un nom d'affichage unique pour le certificat. Évitez d'entrer des informations confidentielles.
      Note

      Deux certificats de la location ne peuvent pas partager le même nom, y compris les certificats en attente de suppression.
    5. (Facultatif) Entrez une description pour faciliter l'identification du certificat. Évitez d'entrer des informations confidentielles.
    6. (Facultatif) Pour appliquer des marqueurs, sélectionnez Afficher les options de marquage. Pour plus d'informations sur les marqueurs, voir Marqueurs de ressource.
    7. Sélectionnez Suivant.
    8. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent un nom commun identifiant le responsable du certificat. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou un point d'extrémité d'ordinateur. Les informations sur le sujet peuvent également inclure des noms DNS ou des adresses IP, ainsi que d'autres noms utilisés par le détenteur du certificat. Vous pouvez utiliser des caractères génériques pour émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    9. (Facultatif) Pour ajouter d'autres noms de remplacement de sujet, sélectionnez + Un autre nom de remplacement de sujet, sélectionnez le type d'adresse, puis entrez le nom. Lorsque vous êtes prêt, sélectionnez Suivant.
    10. Sélectionnez un type de profil de certificat parmi les profils suivants en fonction de l'utilisation prévue du certificat :
      • Serveur ou client TLS : Présenté par un serveur ou un client pour les connexions TLS/SSL.
      • Serveur TLS : Présenté par un serveur pour les connexions TLS/SSL.
      • Client TLS : Présenté par un client lors des connexions TLS/SSL.
      • Signature de code TLS : Présenté par un programme pour valider sa signature.
    11. Pour modifier l'AC qui émet le certificat, sélectionnez Autorité de certification de l'émetteur, puis une AC. Si nécessaire, sélectionnez Changer de compartiment, puis sélectionnez un autre compartiment si l'autorité de certification se trouve dans un compartiment différent de celui que vous avez sélectionné pour le certificat.
    12. (Facultatif) Sélectionnez Non valide avant le, puis entrez une date avant laquelle le certificat ne peut pas être utilisé pour valider l'identité de son détenteur. Si vous ne spécifiez pas de date, la période de validité du certificat commence immédiatement. Les valeurs sont arrondies à la seconde près.
    13. Sélectionnez Non valide après le, puis modifiez la date après laquelle le certificat ne constitue plus une preuve valide de l'identité du titulaire. Vous devez spécifier une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être postérieure à la date d'expiration de l'autorité de certification émettrice. Vous ne pouvez pas non plus spécifier une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde près. En général, les certificats sont utilisés pendant toute leur période de validité, à moins qu'un événement ne rende la révocation nécessaire.
    14. Pour Algorithme de clé, sélectionnez la combinaison d'algorithme et de longueur de clé dont vous avez besoin pour la paire de clés de certificat parmi les options suivantes :
      • RSA2048 : Clé Rivest-Shamir-Adleman (RSA) à 2048 bits
      • RSA4096 : Clé RSA à 4096 bits
      • ECDSA_P256 : Clé ECDSA avec identificateur de courbe P256
      • ECDSA_P384 : Clé ECDSA avec identificateur de courbe P384
    15. (Facultatif) Sélectionnez Afficher les champs supplémentaires, puis sous Algorithme de signature, sélectionnez l'un des algorithmes de signature suivants, selon la clé :
      • SHA256_WITH_RSA : Clé Rivest-Shamir-Adleman (RSA) avec fonction de hachage SHA-256
      • SHA384_WITH_RSA : Clé RSA avec fonction de hachage SHA-384
      • SHA512_WITH_RSA : Clé RSA avec fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    16. Pour configurer le renouvellement automatique du certificat afin d'éviter toute interruption de son utilisation, indiquez une valeur différente de zéro pour les paramètres suivants :
      • Intervalle de renouvellement (jours) : Fréquence à laquelle le certificat est renouvelé
      • Période de renouvellement anticipé (jours) : Nombre de jours avant l'expiration du certificat pendant lequel le renouvellement a lieu
      Pour une flexibilité maximale, renouvelez le certificat avant la fin de sa période de validité et avec suffisamment de temps de renouvellement à l'avance en cas de défaillance. Un certificat qui expire avant que le service puisse le renouveler avec succès peut entraîner des interruptions de service.
      Lorsque vous êtes prêt, sélectionnez Suivant.
    17. Vérifiez que les informations sont correctes, puis sélectionnez Créer un certificat.
      La création de ressources liées aux certificats peut prendre du temps.
  • Utilisez la commande oci certs-mgmt certificate create-certificate-issued-by-internal-ca et les paramètres requis pour créer un certificat émis par le service de certificats :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Par exemple :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'API.

  • Exécutez l'opération CreateCertificate pour créer un certificat que vous prévoyez de gérer en interne.