Documentation Oracle Cloud Infrastructure

Création d'une autorité de certification

Utilisez le service Certificates pour créer une autorité de certification racine ou subordonnée.

Vous devez déjà disposer d'une CA racine pour créer une CA subordonnée.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer une autorité de certification. Pour plus d'informations, reportez-vous à Stratégie IAM requise.

Pour créer une autorité de certification, vous devez avoir accès à une clé de cryptage asymétrique existante protégée par matériel à partir du service Oracle Cloud Infrastructure (OCI) Vault. Pour plus d'informations, reportez-vous à Présentation de Vault.

Lorsque vous créez une CA avec une liste de certificats révoqués, vous pouvez indiquer un bucket OCI Object Storage dans lequel stocker cette liste. Le bucket doit déjà exister au moment de la création de l'autorité de certification. Il doit également s'agir d'un bucket dédié que vous n'utilisez à aucune autre fin, y compris le stockage de la liste des clients d'une autre autorité de certification.

    1. Sur la page de liste Autorités de certification, sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à la section Liste des autorités de certification.
    2. Sélectionnez Compartiment, puis le compartiment dans lequel créer l'autorité de certification.
    3. Sous Type d'autorité de certification, sélectionnez le type d'autorité de certification parmi les options suivantes :
      • Autorité de certification racine : autorité de certification située en haut de la hiérarchie dans une chaîne d'autorités de certification.
      • Autorité de certification subordonnée : toute autorité de certification autre que l'autorité de certification racine dans une hiérarchie contenant d'autres autorités de certification.
    4. Entrez le nom d'affichage unique de l'AC. Ce nom vous aide à identifier l'AC à des fins d'administration mais il n'apparaît pas dans le certificat de l'AC. Evitez de saisir des informations confidentielles.
      Remarque

      Deux autorités de certification de la location ne peuvent pas partager le même nom, y compris les autorités de certification en attente de suppression.
    5. (Facultatif) Entrez une description pour identifier plus facilement l'autorité de certification. (Cette description vous aide à identifier l'autorité de certification mais elle n'apparaît pas dans le certificat de l'autorité de certification.) Evitez de saisir des informations confidentielles.
    6. (Facultatif) Pour appliquer des balises, sélectionnez Afficher les options de balisage. Pour plus d'informations sur les balises, reportez-vous à Balises de ressource.
    7. Sélectionnez Suivant.
    8. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent au moins un nom commun permettant d'identifier le propriétaire du certificat de l'autorité de certification. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou une adresse d'ordinateur. Le format des informations sur le sujet doit être conforme aux normes RFC 5280. Vous pouvez utiliser des caractères génériques afin d'émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    9. (Facultatif) Pour fournir plus d'informations sur l'objet de l'autorité de certification, sélectionnez Afficher les champs supplémentaires. Pour plus d'informations sur chacune des valeurs d'un nom distinctif de sujet, reportez-vous à la norme RFC 5280.
    10. Lorsque vous êtes prêt, sélectionnez Suivant.
    11. (Facultatif) Sélectionnez Non valide avant, puis indiquez l'heure et la date UTC à partir desquelles vous voulez commencer à utiliser l'autorité de certification. Si vous n'indiquez aucune date, la période de validité de l'autorité de certification commence immédiatement.
    12. Sélectionnez Non valide après, puis indiquez la date à partir de laquelle l'autorité de certification ne peut plus être utilisée pour émettre ou valider des autorités de certification subordonnées ou des certificats. (Vous devez indiquer une date postérieure d'au moins un jour à la date de début de la période de validité. Vous ne pouvez pas indiquer une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde.)
    13. Si vous créez une CA subordonnée, sous Autorité de certification d'émetteur, indiquez l'AC parent qui émet cette CA. Si vous créez une autorité de certification racine, passez à l'étape suivante.
    14. Sous Coffre, sélectionnez le coffre qui contient la clé de cryptage à utiliser pour le certificat d'autorité de certification. Vous pouvez éventuellement sélectionner Modifier le compartiment pour indiquer un autre compartiment. Pour plus d'informations sur la création et la gestion des coffres, reportez-vous à Gestion des coffres.
    15. Sous Clé, sélectionnez la clé du coffre à utiliser. La liste comprend uniquement les clés asymétriques du coffre car ce sont les seules clés prises en charge par Certificates. Vous pouvez choisir parmi les clés Rivest-Shamir-Adleman (RSA) qui sont 2 048 bits ou 4 096 bits. Vous pouvez également sélectionner des clés d'algorithme de signature numérique à courbe elliptique (ECDSA) dont l'ID de courbe elliptique est NIST_P384. Plus précisément, la liste inclut uniquement les types de clé asymétrique protégée par un module de sécurité HSM. Certificates ne prend pas en charge l'utilisation de clés protégées par logiciel. Pour plus d'informations sur la création et la gestion des clés, reportez-vous à Gestion des clés.
    16. Sous Algorithme de signature, sélectionnez l'une des options suivantes, en fonction de la famille d'algorithmes clés :
      • SHA256_WITH_RSA : clé RSA avec une fonction de hachage SHA-256
      • SHA384_WITH_RSA : clé RSA avec une fonction de hachage SHA-384
      • SHA512_WITH_RSA : clé RSA avec une fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    17. Configurez la règle d'expiration. Sous Maximum Validity Duration for Certificates (Days), indiquez le nombre maximal de jours de validité d'un certificat émis par cette AC. Nous vous recommandons vivement de ne pas définir de période de validité de plus 90 jours.
    18. Sous Durée de validité maximale de l'autorité de certification subordonnée (jours), indiquez le nombre maximal de jours pendant lesquels une autorité de certification émise par cette autorité de certification peut être valide pour émettre d'autres autorités de certification ou des certificats. Lorsque vous êtes prêt, sélectionnez Suivant.
    19. Sur la page Configuration de révocation, si vous ne voulez pas configurer de liste de certificats, cochez la case Ignorer la révocation. Pour configurer la révocation de certificat, désélectionnez la case, puis indiquez un bucket Object Storage dédié dans lequel vous prévoyez de stocker la liste de certificats révoqués.
    20. (Facultatif) Sélectionnez Modifier le compartiment pour rechercher un bucket dans un autre compartiment.
    21. Sous Format de nom d'objet, indiquez le nom de l'objet. Vous pouvez inclure des accolades dans le nom de l'objet pour indiquer l'endroit où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout permet d'éviter l'écrasement d'une CRL existante chaque fois que vous créez une autre version de l'AC. Pour plus d'informations sur les noms d'objet, reportez-vous à Noms d'objet.
    22. (Facultatif) Sous URL formatées personnalisées, indiquez l'URL à utiliser avec les API pour accéder à l'objet. Cette URL est désignée comme le point de distribution de la liste des certificats révoqués dans les certificats. Vous pouvez inclure des accolades dans l'URL pour indiquer l'endroit où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cet ajout permet d'éviter d'écraser une CDP existante lorsque vous créez une autre version de CA. Vous ne pouvez spécifier une URL HTTPS que s'il n'existe aucune dépendance circulaire dans la vérification de la chaîne HTTPS.
    23. (Facultatif) Pour fournir une autre CDP, sélectionnez + Autre URL, puis indiquez une autre URL dans laquelle les utilisateurs peuvent accéder à la liste des certificats révoqués.
    24. Lorsque vous êtes prêt, sélectionnez Suivant.
    25. Vérifiez que les informations sont correctes, puis sélectionnez Créer une autorité de certification.
      La création des ressources associées aux certificats peut prendre un certain temps.

  • La commande à utiliser dépend du type d'autorité de certification que vous voulez créer (racine ou subordonnée).

    Utilisez la commande oci certs-mgmt certificat-authority create-root-CA-by-generating-config-details et les paramètres requis pour créer une autorité de certification racine :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour créer une CA subordonnée, utilisez la commande oci certs-mgmt certificat-authority create-subordinate-ca-issued-by-internal-ca et les paramètres requis :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Exécutez l'opération CreateCertificateAuthority pour créer une autorité de certification.