Documentation Oracle Cloud Infrastructure

Utiliser votre propre autorité de certification

Bring Your Own Certificate Authority (BYOCA) for OCI Certificates donne aux entreprises la flexibilité d'intégrer directement leur infrastructure d'autorité de certification existante dans OCI tout en gardant le contrôle total de leurs clés privées.

Les entreprises gèrent aujourd'hui des environnements PKI matures et profondément enracinés qui prennent en charge des milliers d'applications, de mandats réglementaires et de chaînes de confiance de longue date. La reconstruction de cette hiérarchie dans le cloud est coûteuse, risquée et rarement réalisable. Les clients ont besoin d'un moyen sécurisé et prévisible de connecter leurs autorités de certification racine existantes à OCI, de maintenir la continuité de la confiance et d'adopter l'automatisation du cloud sans perturber les opérations.

BYOCA est construit précisément pour cela.

Utilisation de votre propre autorité de certification racine

Vous pouvez importer une autorité de certification racine externe dans OCI Certificates en fournissant le certificat (PEM), sans jamais télécharger vos clés privées. OCI enregistre l'autorité de certification en tant qu'autorité de certification racine gérée en externe, en maintenant la confiance avec une infrastructure de clés publiques existante tout en garantissant que les clés restent uniquement sous votre contrôle.

Pour importer l'autorité de certification racine, procédez comme suit :

  1. Dans la console OCI, ouvrez le menu principal (☰ menu) et accédez à Identité et sécurité, puis sélectionnez Certificats.
  2. Sous Autorités de certification, sélectionnez Importer une autorité de certification.
  3. Entrez le nom et la description.
  4. Sélectionnez le compartiment de l'autorité de certification racine.
  5. Téléchargez ou collez votre fichier PEM de certificat d'autorité de certification racine dans OCI. Ajoutez une description de clé externe.
  6. Sélectionnez Importer.
Remarque

Pour plus de détails sur l'import de votre certificat, reportez-vous à Import de votre propre autorité de certification.

Créer une autorité de certification subordonnée gérée par OCI

Une fois l'autorité de certification racine importée, générez une demande de signature de certificat dans OCI. Pour créer une autorité de certification subordonnée (subCA), sélectionnez Autorité de certification subordonnée : autorité de certification externe émise, gérée en interne dans la boîte de dialogue Créer une autorité de certification. Ensuite, signez cette CSR en externe à l'aide de vos clés d'autorité de certification racine existantes et téléchargez à nouveau le certificat signé dans OCI. A ce stade, le service OCI Certificates active l'autorité de certification subordonnée et la gère en votre nom, à l'aide de clés stockées en toute sécurité dans OCI Key Management Service (KMS). L'autorité de certification subordonnée a besoin d'une clé soutenue par le module de sécurité matérielle (HSM).

Etapes de création d'une autorité de certification subordonnée

Pour créer une autorité de certification subordonnée, procédez comme suit :

  1. Importez l'autorité de certification racine externe dans OCI. Voir la section précédente.
  2. Accédez à la page de liste Autorisations de certification, puis sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des autorités de certification.
  3. Sous Informations de base, entrez le nom et la description.
  4. Sélectionnez le compartiment de l'autorité de certification racine.
  5. Sélectionnez Autorité de certification subordonnée émise par une autorité de certification externe, gérée en interne.

Remplissez les sections restantes dans la boîte de dialogue CA.

(1) Informations sur le sujet

Informations sur le sujet : Entrez le nom commun qui identifie l'autorité de certification subordonnée créée dans la hiérarchie de certificats de l'organisation.

Renseignez les options de nom distinctif de sujet supplémentaires si nécessaire.

(2) Configuration d'autorité

Configuration d'autorité:
  • Sélectionnez :
    • Compartiment : compartiment cible pour l'autorité de certification racine.
    • Autorité de certification émettrice : autorité de certification racine externe importée qui sert d'autorité parent pour cette autorité de certification subordonnée.
  • Sélectionnez :
    • Compartiment : compartiment cible pour le coffre.
    • Coffre : coffre qui stocke la clé.
  • Sélectionnez :
    • Compartiment : compartiment cible de la clé.
    • Clé : clé de l'autorité de certification.

(3) Règles

Pour configurer des règles, procédez comme suit :

  1. Règle d'expiration : activée. Valeur par défaut.
    • Durée de validité maximale du certificat : la valeur recommandée est de 90 jours.
    • Durée de validité maximum pour l'autorité de certification subordonnée : la valeur recommandée est 1095 jours (3 ans).

    Modifiez les périodes de validité en fonction des besoins de l'organisation.

  2. Règle d'émission : activée. Valeur par défaut.
    • Contrainte de longueur de chemin : indiquez la longueur.
    • Contrainte de nom : définissez les contraintes de nom qui définissent les noms d'objet/SAN de certificat que cette autorité de certification est autorisée à émettre.
    Pour configurer les règles d'émission, indiquez la longueur de chemin autorisée et les contraintes de nom qui définissent les noms d'objet/SAN de certificat que cette autorité de certification est autorisée à émettre.

(4) Configuration des révocations

Vous pouvez configurer un emplacement pour la publication d'une liste de certificats révoqués (CRL). Une liste de certificats révoqués spécifie les versions d'une autorité de certification ou d'un certificat considérés comme n'étant plus fiables et non valides avant la fin de leur période de validité. Les paramètres de révocation peuvent être mis à jour à tout moment.

  • Activer la révocation : activé. Valeur par défaut.
  • Compartiment : compartiment du bucket de stockage d'objet.
  • Bucket Object Storage : sélectionnez un bucket cible.
  • Format de nom d'objet : indiquez un format pour les fichiers d'objet.
  • URL formatée personnalisée : indiquez une URL formatée personnalisée en tant que point de distribution de liste des certificats révoqués (CDP).

Révision

Vérifiez vos options de configuration. Sélectionnez Créer une autorité de certification.

Une entité d'autorité de certification subordonnée est ainsi créée dans OCI.

Etapes à suivre pour activer une autorité de certification subordonnée

Pour activer l'autorité de certification subordonnée, procédez comme suit

  1. Accédez à la page de liste Autorités de certification. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des autorités de certification.
  2. Sélectionnez l'autorité de certification subordonnée récemment créée.
  3. Accédez à l'onglet Versions. Sous la phase Pending_Activation. Sélectionnez le menu Actions (trois points) de la version et sélectionnez Télécharger la CSR.
  4. Prenez la CSR téléchargée et signez la CSR avec votre CA externe.
  5. Revenez au même onglet Versions et sélectionnez Activer. Téléchargez le certificat signé et sélectionnez Activer.

Résultat après la création et l'activation de votre autorité de certification :

  • Une autorité de certification subordonnée entièrement opérationnelle
  • Option flexible de clés privées générées ou importées dans OCI KMS
  • Gestion complète du cycle de vie OCI et délivrance de certificats directement à partir de SubCA.

Vous pouvez également importer leurs propres paires de clés asymétriques pour les autorités de certification subordonnées directement dans OCI KMS, ce qui leur donne une plus grande flexibilité dans la création et le contrôle des clés.

Synthèse

Avec BYOCA, vous pouvez :

  • Etendez une hiérarchie d'autorité de certification racine existante vers OCI sans exposer de clés privées.
  • Créez des autorités de certification subordonnées gérées par OCI à l'aide de CSR signées par la racine externe.
  • Emettre des certificats directement à partir des autorités de certification subordonnées gérées par OCI à l'aide de clés sécurisées soutenues par KMS.
  • Cela comble l'écart entre vos investissements PKI actuels et les avantages d'OCI en matière d'automatisation et d'évolutivité.

Les avantages sont les suivants :

  • Plus de flexibilité : tirez parti de votre infrastructure, de vos stratégies et de vos modèles de gouvernance d'autorité de certification existants dans OCI sans repenser la conception.
  • Meilleure interopérabilité : connectez les environnements hybrides sans effort. BYOCA facilite l'exécution de charges de travail distribuées sur site, multicloud et OCI.
  • Conformité plus stricte : l'alignement BYOCA prend en charge la séparation stricte des modèles de tâches, des exigences réglementaires et des mandats d'audit, tandis qu'OCI gère le cycle de vie opérationnel des autorités de certification subordonnées dans une plate-forme sécurisée et conforme.
  • Options de sécurité plus strictes : déterminez l'emplacement et la façon dont les clés sont gérées. Gardez un contrôle total sur les clés racine pendant qu'OCI gère la charge opérationnelle des autorités de certification subordonnées.