Documentation Oracle Cloud Infrastructure

Création d'une autorité de certification

Utilisez le service Certificates pour créer une autorité de certification racine ou une autorité de certification subordonnée.

Vous devez déjà disposer d'une autorité de certification racine pour créer une autorité de certification subordonnée.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer une autorité de certification. Pour plus d'informations, reportez-vous à Stratégie IAM requise.

Pour créer une instance de certificat, vous devez avoir accès à une clé de cryptage asymétrique existante protégée du matériel à partir du service Oracle Cloud Infrastructure (OCI) Vault. Pour plus d'informations, reportez-vous à Présentation de Vault.

Lorsque vous créez une autorité de certification avec la liste de certificats révoqués, vous pouvez indiquer un bucket OCI Object Storage dans lequel stocker la liste de certificats révoqués. Le bucket doit déjà exister au moment de la création de l'autorité de certificat. Le bucket doit également être un bucket dédié que vous n'utilisez à aucune autre fin ou que vous n'utilisez le stockage de la liste des certificats révoqués d'une autre autorité de certification

  • Sur la page de liste Autorités de certification, sélectionnez Créer une autorité de certification. Si vous avez besoin d'aide pour trouver la page de liste ou l'autorité de certification, reportez-vous à Liste des autorités de certification.

    Le panneau Créer une autorité de certification s'ouvre.

    La création d'une autorité de certification se compose des pages suivantes :

    • Informations de base
    • Informations sur le sujet
    • Configuration d'autorité
    • Règles
    • Configuration de révocation
    • Récapitulatif

    Exécutez chacun des workflows suivants dans l'ordre. Vous pouvez revenir à une page précédente, en sélectionnant Précédent.

    Informations de base

    Saisissez les informations suivantes :

    • Nom : entrez le nom du certificat. Aucune autorité de certification dans la location ne peut partager le même nom, y compris les autorités de certification en attente de suppression.
    • Description : (facultatif) entrez une description de l'autorité de certification.
    • Compartiment : sélectionnez le compartiment dans lequel réside l'autorité de certification dans la liste.
    • Type d'autorité de certification : sélectionnez l'une des options suivantes :
      • Autorité de certification racine : crée une autorité de certification (autorité de certification) qui émet des certificats numériques et gère leur révocation. Une autorité de certification contient généralement d'autres autorités de certification avec des relations parent-enfant définies entre elles. L'autorité de certification située en haut d'une hiérarchie est appelée autorité de certification racine.
      • Autorité de certification subordonnée : crée une autorité de certification subordonnée qui est une entité intermédiaire au sein d'une hiérarchie d'autres entités similaires qui émettent des certificats numériques.
      • Autorité de certification subordonnée : autorité de certification externe émise, gérée en interne : crée une autorité de certification subordonnée émise par l'autorité de certification racine externe, mais gérée en interne (clés stockées) dans le module de sécurité matérielle (HSM) OCI. Créez une demande de signature de certificat ici et terminez l'émission par l'intermédiaire de votre autorité de certification externe.

    Balisage

    Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

    Sélectionnez Suivant.

    Informations sur le sujet

    La page Informations sur le sujet comprend au moins un nom commun permettant d'identifiant le propriétaire du certificat de l'autorité de certification, Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou une adresse d'ordinateur. Le format des informations sur le sujet doit être conforme aux normes RFC 5280. Vous pouvez utiliser des caractères génériques pour émettre un certificat correspondant à plusieurs noms de domaine ou de sous-domaine.

    Saisissez les informations suivantes :

    • Nom commun : entrez un nom commun.

    Champs supplémentaires

    Saisissez les informations demandées, telles que le nom, l'adresse et les informations sur l'organisation de la matière. Pour plus d'informations sur chacune des valeurs d'un nom distinctif de sujet, reportez-vous à la norme RFC 5280.

    Sélectionnez Suivant.

    Configuration d'autorité

    Saisissez les informations suivantes :

    • Compartiment de l'autorité de certification de l'émetteur : (autorité de certification subordonnée uniquement) sélectionnez le compartiment contenant l'autorité de certification parent à émettre l'autorité de certification subordonnée que vous créez.
    • Autorité de certificat de l'émetteur : (autorité de certificat subordonnée uniquement) sélectionnez l'autorité de certificat subordonnée de votre choix. Les autorités de certification subordonnées répertoriées sont celles contenues dans le compartiment d'autorité de certification de l'émetteur que vous avez sélectionné. Si vous avez choisi le type d'autorité de certification Autorité de certification subordonnée : autorité de certification externe émise, gérée en interne, veillez à choisir votre racine externe en tant que parent RootCA.
    • Non valide avant : entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour indiquer avant laquelle l'autorité de certification ne peut pas être utilisée pour valider l'identité de son porteur. Si vous n'indiquez aucune date, la durée de validité du certificat commence immédiatement.
    • Heure : entrez l'heure (hh:mm) au format UTC pour le jour que vous avez indiqué que l'autorité de certification n'est pas valide auparavant.
    • Non valide après : entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier après quoi l'autorité de certification n'est plus une preuve valide de l'identité de son porteur. Vous devez indiquer une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être ultérieure à l'expiration de l'autorité de certificat émettrice.

      Vous n'êtes pas autorisé à indiquer une date postérieure au 31 décembre 2037. En règle générale, les autorités de certification sont utilisées pendant toute la durée de la validité, sauf si un évènement requiert leur révocation. La valeur par défaut est trois mois après la création de l'autorité de certification.

    • Heure : entrez l'heure (hh:mm) au format UTC pour le jour où vous avez indiqué que l'autorité de certification n'est pas valide après.
    • Coffre dans le compartiment : sélectionnez le compartiment contenant le coffre qui contient la clé de cryptage à utiliser pour le certificat d'autorité de certification.
    • Coffre dans : sélectionnez le coffre contenant la clé de cryptage à utiliser pour le certificat d'autorité de certification. Les coffres répertoriés sont ceux contenus dans le compartiment de coffre que vous avez sélectionné.
    • Clé dans le compartiment : sélectionnez le compartiment contenant la clé de cryptage dans le coffre à utiliser pour le certificat d'autorité de certification.
    • Clé dans : sélectionnez la clé à utiliser. La liste comprend uniquement les clés asymétriques du coffre car ces dernières sont les seules clés prises en charge par Certificates. Vous pouvez sélectionner parmi les clés RSA (Rivest-Shamir-Adleman) 2 048 bits ou 4 096 bits.

      You can also select elliptic curve cryptography digital signature algorithm (ECDSA) keys that have an elliptic curve ID of NIST_P384. La liste inclut uniquement ces types de clés asymétriques qui sont protégés par un module de sécurité HSM. Les certificats ne prennent pas en charge l'utilisation de clés protégées par logiciel. Pour plus d'informations sur les clés de création et de gestion, reportez-vous à la section Managing Keys.

    • Algorithme de signature : sélectionnez l'une des options suivantes, en fonction de la famille d'algorithmes de clé :
      • SHA256_WITH_RSA : clé RSA avec une fonction du hachage SHA-256.
      • SHA384_WITH_RSA : clé RSA avec une fonction du hachage SHA-384.
      • SHA512_WITH_RSA : clé RSA avec une fonction SHA-512 de hachage.
      • SHA256_WITH_ECDSA : clé ECDSA avec une fonction d' hachage SHA-256.
      • SHA384_WITH_ECDSA : clé ECDSA avec une fonction d' hachage SHA-384.
      • SHA512_WITH_ECDSA : clé ECDSA avec une fonction d' hachage SHA-512.

    Sélectionnez Suivant.

    Règles

    La page Règles permet de configurer des règles pour appliquer des contraintes à cette autorité de certification et aux ressources que vous émettez à partir de celle-ci.

    Règle d'expiration

    Vous pouvez spécifier la durée maximale de validité d'un certificat ou d'une autorité de certification subordonnée émis par ce certificat. Les modifications ne s'appliquent qu'aux nouveaux certificats et aux nouvelles instances de certificat subordonnées qui sont émises après.

    Activez la règle d'expiration pour configurer les paramètres suivants :

    • Durée maximale de validation de tout certificat (jours) : indiquez la durée maximale de validation d'un certificat émis par cette autorité de certification.
    • Durée de validité maximale de l'Autorité de certification subordonnée (jours) : indiquez le nombre maximal d'heures pendant lesquelles une Autorité de certification émise par cette Autorité de certification peut être valide pour émettre d'autres autorités de certifications ou des certificats. La valeur recommandée est de 1095 jours (3 ans).

    Règle d'émission

    Vous pouvez spécifier des règles d'émission pour appliquer certaines conditions concernant les ressources émises par cette autorité de certification. Une contrainte de longueur de chemin limite le nombre d'autorités de certification subordonnées dont une autorité de certification peut disposer. Une contrainte de nom sur les noms de sujet de certificat spécifie les espaces de noms autorisés pour les formulaires de nom hiérarchiques dans les certificats que toute autorité de certification de cette chaîne de certificats émet. Les règles d'émission ne peuvent pas être mises à jour ultérieurement.

    Activez la règle d'émission pour configurer les paramètres suivants :

    • Contrainte de longueur de chemin : sélectionnez la longueur maximale (0–10) pour les autorités de certification subordonnées.
    • Sous-arborescences exclues : indiquez le type et la valeur de blocage de certains espaces de noms. Sélectionnez Ajouter une sous-arborescence exclue pour créer une autre entrée.
    • Sous-arborescences autorisées : indiquez le type et la valeur permettant d'autoriser certains espaces de noms. Sélectionnez Ajouter une sous-arborescence autorisée pour créer une autre entrée.

    Sélectionnez Suivant.

    Configuration de révocation

    La page Configuration de la révocation permet de configurer un emplacement pour la publication d'une liste de certificats révoqués. Une liste de certificats révoqués spécifie les versions d'une autorité de certification ou d'un certificat considéré comme n'étant plus fiable et invalide avant la fin de leur période de validité. Vous pouvez stocker une liste de certificats révoqués dans un bucket Object Storage ou indiquer une URL formatée personnalisée comme point de distribution de liste de certificats révoqués. Les paramètres de révocation peuvent être mis à jour à tout moment.

    Activez Révocation pour configurer les paramètres suivants :

    • Compartiment de bucket Object Storage : sélectionnez le compartiment contenant le bucket Object Storage dans lequel vous pouvez stocker une liste de certificats révoqués.
    • Bucket de stockage d'objet : sélectionnez le bucket de stockage d'objet souhaité. Les buckets qui apparaissent sont ceux contenus dans le compartiment que vous avez sélectionné.
    • Format du nom d'objet : indiquez le nom de l'objet. Vous pouvez inclure des accolades dans le nom de l'objet pour indiquer l'endroit où le service peut insérer le numéro d'autorité de certification émettrice. Cet ajout permet d'éviter l'écrasement d'une liste de certificats révoqués existante lorsque vous créez une autre version d'autorité de certification. Pour plus d'informations sur les noms d'objet, reportez-vous à Noms d'objet.

    URL formatées personnalisées

    Entrez l'URL à employer avec l'API pour accéder à l'objet. Cette URL est désignée comme le point de distribution de la liste des certificats révoqués dans les certificats. Vous pouvez inclure des accolades dans l'URL pour indiquer l'endroit où le service peut insérer le numéro d'autorité de certification émettrice. Cet ajout permet d'éviter d'écraser une CDP existante lorsque vous créez une autre version d'autorité de certification. Vous ne pouvez spécifier une URL HTTPS qu'en l'absence de dépendance circulaire dans la vérification de la chaîne HTTPS.

    Pour fournir une autre CDP, sélectionnez + Autre URL, puis indiquez une autre URL où les utilisateurs peuvent accéder à la liste des certificats révoqués.

    Sélectionnez Suivant.

    Synthèse

    Vérifiez le contenu de la page Récapitulatif. Sélectionnez Modifier pour ajouter ou modifier des informations sur la page associée. Une fois les paramètres vérifiés, sélectionnez Créer une autorité de certification.

    L'autorité de certification que vous avez créée apparaît dans la page de liste Autorisations de certificat.

  • La commande que vous utilisez dépend de la création d'une autorité de certificat racine ou subordonnée.

    Utilisez la commande oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details et les paramètres requis pour créer une autorité de certification racine :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Par exemple :

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>

    Pour créer une autorité de certification subordonnée, utilisez la commande oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca et les paramètres requis :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Par exemple :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération CreateCertificateAuthority pour créer une autorité de certification.