Documentation sur Oracle Cloud Infrastructure

Définition d'une autorité de certification subordonnée

définition d'une autorité de certification;

Vous devez déjà avoir une autorité de certification racine dans Oracle Cloud Infrastructure Certificates pour créer une autorité de certification subordonnée. Vous pouvez exécuter une autorité de certification subordonnée à partir de toute autre autorité de certification tant que vous ne dépassez pas le nombre total d'autorités de certification autorisé dans la location.

Pour créer une autorité de certification, vous devez avoir accès à une clé de chiffrement asymétrique protégée par le matériel existante à partir du service Oracle Cloud Infrastructure Vault. Pour plus d'informations, voir Aperçu du service de chambre forte.

Lorsque vous créez une autorité de certification avec une liste de révocation de certificats, vous pouvez spécifier un seau de stockage d'objets OCI dans lequel vous voulez stocker cette liste. Le seau doit exister au moment de la création de l'autorité de certification.

    1. Dans la page de liste Autorités de certification, sélectionnez le nom de l'autorité de certification à partir de laquelle vous voulez émettre une autorité de certification subordonnée. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des autorités de certification.

      Pour rechercher une autorité de certification dans un autre compartiment, sous Portée de la liste, sélectionnez un autre compartiment.

    2. Sous Ressources, sélectionnez Autorités de certification subordonnées.
    3. Sélectionnez Définir une autorité de certification subordonnée.
    4. Sous Compartiment, sélectionnez le compartiment dans lequel créer l'autorité de certification.
    5. Entrez un nom d'affichage unique pour l'AC. Ce nom vous aide à identifier l'AC à des fins administratives, mais il ne figure pas dans le certificat de l'AC. Évitez d'entrer des informations confidentielles.
      Note

      Deux autorités de certification de la location ne peuvent pas partager le même nom, y compris les autorités de certification en attente de suppression.
    6. (Facultatif) Entrez une description pour faciliter l'identification de l'autorité de certification. Cette description vous aide à identifier l'autorité de certification, mais elle ne figure pas dans le certificat de l'autorité de certification. Évitez d'entrer des informations confidentielles.
    7. (Facultatif) Pour appliquer des marqueurs, sélectionnez Afficher les options de marquage. Pour plus d'informations sur les marqueurs, voir Marqueurs de ressource.
    8. Lorsque vous êtes prêt, sélectionnez Suivant.
    9. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent au moins un nom commun identifiant le responsable du certificat de l'autorité de certification. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou un point d'extrémité d'ordinateur. Vous pouvez utiliser des caractères génériques pour émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    10. (Facultatif) Pour fournir plus d'informations sur le sujet de l'autorité de certification, sélectionnez Afficher les champs supplémentaires. Pour plus de détails sur chacune des valeurs d'un nom distinctif de sujet, voir le document RFC 5280. Lorsque vous êtes prêt, sélectionnez Suivant.
    11. (Facultatif) Sélectionnez Non valide avant le, puis spécifiez l'heure et la date UTC auxquelles vous voulez commencer à utiliser l'autorité de certification. Si vous ne spécifiez pas de date, la période de validité de l'autorité de certification commence immédiatement.
    12. Sélectionnez Non valide après le, puis spécifiez la date après laquelle l'autorité de certification ne peut plus être utilisée pour définir ou valider des autorités de certification subordonnées ou des certificats. (Vous devez spécifier une date postérieure d'au moins un jour à la date de début de la période de validité. Vous ne pouvez pas spécifier une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde près.)
    13. Sous Chambre forte, sélectionnez la chambre forte qui contient la clé de chiffrement à utiliser pour le certificat de l'autorité de certification. Si nécessaire, sélectionnez Changer de compartiment pour spécifier un autre compartiment.
    14. Sous Clé, sélectionnez la clé dans la chambre forte à utiliser. La liste contient uniquement les clés asymétriques de la chambre forte, car le service de certificats ne prend en charge que ce type de clé. De plus, la liste n'inclut que les clés appartenant à la même famille d'algorithmes de clé que la clé utilisée par l'autorité de certification parent. Vous pouvez sélectionner des clés Rivest-Shamir-Adleman (RSA) de 2 048 bits ou 4 096 bits. Vous pouvez également sélectionner des clés ECDSA avec l'ID courbe elliptique NIST_P384. Concrètement, seuls les types de clé asymétrique protégée par un module de sécurité matériel figurent dans la liste. Le service de certificats ne prend pas en charge l'utilisation des clés protégées par le logiciel. Pour des informations sur la création et la gestion de clés, voir Gestion des clés.
    15. Sélectionnez Algorithme de signature, puis sélectionnez l'une des options suivantes, selon la famille d'algorithmes de clé :
      • SHA256_WITH_RSA : Clé Rivest-Shamir-Adleman (RSA) avec fonction de hachage SHA-256
      • SHA384_WITH_RSA : Clé RSA avec fonction de hachage SHA-384
      • SHA512_WITH_RSA : Clé RSA avec fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : Clé ECDSA avec fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    16. Configurez la règle d'expiration. Sous Durée de validité maximale pour les certificats (jours), spécifiez le nombre maximal de jours pendant lesquels un certificat émis par cette autorité de certification peut être valide. Il est vivement recommandé que la période de validité n'excède pas 90 jours.
    17. Sous Durée de validité maximale pour une autorité de certification subordonnée (jours), spécifiez le nombre maximal de jours pendant lesquels une autorité de certification créée par cette autorité de certification peut définir d'autres autorités de certification ou des certificats. Lorsque vous êtes prêt, sélectionnez Suivant.
    18. Dans la page Configuration de révocation, si vous ne voulez pas configurer une liste de révocation de certificats, cochez la case Omettre la révocation. Pour configurer la révocation de certificat, décochez la case, puis spécifiez un seau de stockage d'objets dans lequel vous prévoyez de stocker la liste de révocation de certificats. S'il y a lieu, sélectionnez Modifier le compartiment pour rechercher un seau dans un autre compartiment.
    19. Sous Format de nom d'objet, spécifiez le nom de l'objet. Vous pouvez inclure des accolades dans le nom de l'objet pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cela permet d'éviter le remplacement d'une liste de révocation de données existante lorsque vous créez une autre version de l'autorité de certification. Pour plus d'informations sur les noms d'objet, voir Noms d'objet.
    20. (Facultatif) Sélectionnez URL formatées personnalisées, puis indiquez l'URL à utiliser avec les API pour accéder à l'objet. Cette URL est désignée dans les certificats en tant que point de distribution de liste de révocation de certificats (CDP). Vous pouvez inclure des accolades dans l'URL pour indiquer où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cela permet d'éviter le remplacement d'un CDP existant lorsque vous créez une autre version de l'autorité de certification. (Vous ne pouvez spécifier une URL HTTPS que si aucune dépendance circulaire n'existe dans la vérification de la chaîne HTTPS.)
    21. (Facultatif) Pour fournir un autre CDP, sélectionnez + Une autre URL, puis fournissez une autre URL où les utilisateurs peuvent accéder à la liste de révocation de certificats.
    22. Lorsque vous êtes prêt, sélectionnez Suivant.
    23. Vérifiez que les informations sont correctes, puis sélectionnez Créer une autorité de certification.
      La création de ressources liées aux certificats peut prendre du temps.

  • Utilisez la commande oci certs-mgmt Certificate-authority create-subordinate-CA-issued-by-internal-CA et les paramètres requis pour émettre une autorité de certification subordonnée :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération CreateCertificateAuthority pour émettre une autorité de certification subordonnée.