Documentation Oracle Cloud Infrastructure

Signature du CSR

Découvrez comment signer une demande de signature de certificat (CSR) dans le cadre de l'initialisation d'un cluster HSM dans OCI Dedicated Key Management.

Prérequis : cette tâche est terminée une fois que vous avez téléchargé la CSR, comme décrit dans Téléchargement d'une demande de signature de certificat.

Pour signer, vous devez d'abord créer un certificat de signature auto-signé et l'utiliser pour signer la demande de signature de certificat. Pour ce faire, vous devez effectuer les tâches suivantes :
  1. Générez une paire de clés RSA pour votre ressource de cluster HSM. Cette clé est appelée clé de propriétaire de partition (PO). Assurez-vous de stocker la clé et la phrase de passe dans un emplacement sécurisé, tel qu'un coffre KMS. Vous pouvez utiliser la clé pour signer la CSR de partition que vous avez téléchargée à l'étape précédente.
    $ openssl genrsa -aes256 -out customerPO.key 
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for customerPO.key:
Verifying - Enter pass phrase for customerPO.key:
  2. Utilisez la clé de propriétaire de partition (customerPO.key) pour générer un certificat de propriétaire de partition (partitionOwnerCert.pem). La commande suivante génère le certificat valide uniquement pendant dix ans. Vous pouvez modifier la date d'expiration si nécessaire, mais celle-ci doit être d'au moins 5 ans. Le certificat de propriétaire de partition doit être partagé avec des utilisateurs KMS dédiés.
    $ openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem
Enter pass phrase for customerPO.key:
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:SJ
Organization Name (eg, company) []:Oracle
Organizational Unit Name (eg, section) []:Sec
Common Name (eg, fully qualified host name) []:kms
Email Address []:
  3. Signez la CSR (partitionCsr .csr) à l'aide de la clé de propriétaire de partition (customerPO.key) et de partitionOwnerCert.pem (créée dans les étapes précédentes) pour générer partitionCert.pem.
    $ openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem
Signature ok
subject=/C=US/ST=CA/L=Default City/O=Default Company Ltd/CN=user1
Getting CA Private Key
Enter pass phrase for customerPO.key:
$ ls
customerPO.key  partitionCert.pem  partitionOwnerCert.pem  partitionOwner.srl
  4. Encodez partitionCert.pem et partitionOwnerCert.pem en base 64 à l'aide des commandes ci-dessous. (Cette étape est uniquement requise pour la CLI).
  5. Téléchargez les certificats partitionCert.pem et partitionOwnerCert.pem vers le cluster HSM.
    openssl base64 -A -in partitionCert.pem
openssl base64 -A -in partitionOwnerCert.pem