Documentation sur Oracle Cloud Infrastructure

Création d'un certificat

Créez un certificat à gérer en interne, y compris la clé privée du certificat.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer un certificat. Pour plus d'informations, voir Politique IAM requise.

Vous pouvez créer un certificat de plusieurs façons, notamment en utilisant le service Certificats pour émettre un certificat et en important un certificat émis par une autorité de certification tierce. Pour connaître les étapes d'importation d'un certificat, voir Importation d'un certificat.

Lorsque vous émettez un certificat, vous pouvez générer et gérer la clé privée en interne en utilisant la même autorité de certification pour tout gérer. Vous pouvez également générer une demande de signature de certificat et une clé privée sur le serveur sur lequel vous prévoyez d'installer le certificat, puis soumettre cette demande à une autorité de certification pour qu'elle émette un certificat, tout en gérant la clé privée à l'extérieur.

Cette rubrique décrit comment émettre un certificat que vous prévoyez de gérer en interne. Pour savoir comment émettre un certificat que vous gérez à l'extérieur à l'aide d'une autorité de certification de tierce partie, voir Création d'un certificat géré à l'extérieur.

  • Dans la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des certificats.

    Le panneau Créer un certificat s'ouvre.

    La création d'un certificat comprend les pages suivantes :

    • Informations de base
    • Informations sur le sujet
    • Configuration de certificat
    • Règles
    • Sommaire

    Exécutez chacun des flux de travail suivants dans l'ordre. Pour retourner à une page précédente, sélectionnez Précédent.

    Informations de base

    Entrez les informations suivantes :

    • Nom : Entrez le nom du certificat. Aucun certificat de la location ne peut partager le même nom, y compris les certificats en attente de suppression.
    • Description : (Facultatif) Entrez une description pour le certificat.
    • Compartiment : Sélectionnez dans la liste le compartiment dans lequel réside le certificat.
    • Type de certificat : Sélectionnez une des options suivantes :
      • Émis par une autorité de certification interne : Crée un certificat émis et géré par une autorité de certification (AC) privée du service Certificats.
      • Émis par une autorité de certification interne, géré à l'externe : Crée un certificat émis par une autorité de certification privée du service de certificats que vous avez l'intention de gérer à l'extérieur du service.

    Marquage

    Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

    Sélectionnez Suivant.

    Informations sur le sujet

    Dans la page Informations sur l'objet, vous indiquez un nom commun pour identifier le responsable du certificat. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou un point d'extrémité d'ordinateur. Les informations sur le sujet peuvent également inclure des noms DNS ou des adresses IP, ainsi que d'autres noms connus également du titulaire du certificat. Vous pouvez utiliser des caractères génériques pour émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.

    Entrez les informations suivantes :

    • Nom commun : Entrez un nom commun.
    • Noms de remplacement d'objet : Sélectionnez l'une des options suivantes et entrez la valeur correspondante :
      • Nom de DNS
      • Adresse IP

      Sélectionnez Autre nom d'objet pour ajouter un autre nom DNS ou une autre adresse IP.

    Champs supplémentaires

    Entrez les informations demandées, telles que le nom, l'adresse et l'organisation de l'objet. Pour plus de détails sur chacune des valeurs d'un nom distinctif de sujet, voir le document RFC 5280.

    Sélectionnez Suivant.

    Configuration de certificat

    Entrez les informations suivantes :

    • Serveur ou client TLS : Sélectionnez l'une des options suivantes dans la liste :
      • Serveur ou client TLS : Présent par un serveur ou un client pour les connexions TLS/SSL.
      • Serveur TLS : Présenté par un serveur pour les connexions TLS/SSL.
      • Client TLS : Présenté par un client lors des connexions TLS/SSL.
      • Signature de code TLS : Présenté par un programme pour valider sa signature.
    • Compartiment de l'autorité de certification de l'émetteur : Sélectionnez le compartiment contenant l'autorité de certification à utiliser.
    • Autorité de certification de l'émetteur : Sélectionnez l'autorité de certification voulue. Les autorités de certification listées sont celles contenues dans le compartiment d'autorité de certification de l'émetteur que vous avez sélectionné.
    • Non valide avant le : Entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier avant laquelle le certificat ne peut pas être utilisé pour valider l'identité de son porteur. Si vous ne spécifiez pas de date, la période de validité du certificat commence immédiatement.
    • Heure : Entrez l'heure (hh:mm) en UTC du jour où vous avez spécifié que le certificat n'est pas valide avant.
    • Non valide après le : Entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier après quoi le certificat n'est plus une preuve valide de l'identité de son porteur. Vous devez spécifier une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être postérieure à la date d'expiration de l'autorité de certification émettrice.

      Vous ne pouvez pas spécifier une date postérieure au 31 décembre 2037. En général, les certificats sont utilisés pendant toute leur période de validité, à moins que quelque chose ne rende la révocation nécessaire. La valeur par défaut est de trois mois après la création du certificat.

    • Heure : Entrez l'heure (hh:mm) en UTC pour le jour où vous avez spécifié que le certificat n'est pas valide après.
    • Algorithme de clé : Sélectionnez l'algorithme et la combinaison de longueur de clé dont vous avez besoin pour la paire de clés de certificat parmi les options suivantes :
      • RSA2048 : Clé Rivest-Shamir-Adleman (RSA).
      • RSA4096 : Clé RSA à 4096 bits.
      • ECDSA_P256 : Clé ECDSA avec identificateur de courbe P256.
      • ECDSA_P384 : Clé ECDSA avec ID courbe P384.

    Afficher les champs supplémentaires

    Algorithme de signature : (Facultatif) Sélectionnez l'un des algorithmes de signature suivants, selon l'autorité de certification sélectionnée :

    • SHA256_WITH_RSA : Clé Rivest-Shamir-Adleman (RSA) avec fonction de hachage SHA-256.
    • SHA384_WITH_RSA : Clé RSA avec fonction de hachage SHA-384.
    • SHA512_WITH_RSA : Clé RSA avec fonction de hachage SHA-512.
    • SHA256_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-256.
    • SHA384_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-384.
    • SHA512_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-512.

    Sélectionnez Suivant.

    Règles

    La page Règles vous permet de sélectionner les paramètres de la règle de renouvellement. Pour une flexibilité maximale, renouvelez le certificat avant la fin de sa période de validité et avec suffisamment de temps de renouvellement à l'avance en cas de défaillance. Un certificat qui expire avant que le service puisse le renouveler avec succès peut entraîner des interruptions de service.

    • Intervalle de renouvellement (jours) : Spécifiez le nombre de jours après lesquels la règle est renouvelée.
    • Période de renouvellement anticipé (jours) : Spécifiez le nombre de jours pendant lesquels le certificat est renouvelé.

    Sélectionnez Suivant.

    Sommaire

    Vérifiez le contenu de la page Sommaire. Sélectionnez Modifier pour ajouter ou modifier des informations dans la page associée. Lorsque les paramètres sont entièrement vérifiés, sélectionnez Créer un certificat.

    Le certificat que vous avez créé s'affiche dans la page de liste Certificats.

  • Utilisez la commande oci certs-mgmt certificate create-certificate-issued-by-internal-ca et les paramètres requis pour créer un certificat :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Par exemple :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Pour une liste complète des indicateurs et options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateCertificate pour créer un certificat que vous prévoyez de gérer en interne.