Documentation Oracle Cloud Infrastructure

Création d'un certificat

Créez un certificat pour gérer en interne, y compris la clé privée du certificat.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer un certificat. Pour plus d'informations, reportez-vous à Stratégie IAM requise.

Vous pouvez créer un certificat de plusieurs manières, notamment en utilisant le service Certificates pour émettre un certificat et importer un certificat émis par une autorité de certification tierce. Pour découvrir les étapes d'import d'un certificat, reportez-vous à Import d'un certificat.

Plusieurs méthodes de gestion d'un certificat ont également un impact sur le processus de création. Lorsque vous émettez un certificat, vous pouvez générer et gérer la clé privée en interne pour tout gérer à l'aide d'une seule autorité de certification. Vous pouvez également générer une demande de signature de certificat et une clé privée sur le serveur sur lequel vous prévoyez d'installer le certificat, puis soumettre cette demande à une autorité de certification pour émettre un certificat tout en gérant la clé privée en externe. Cette tâche explique comment émettre un certificat à gérer en interne. Pour connaître les étapes d'émission d'un certificat à gérer en externe à l'aide d'une autorité de certification tierce, reportez-vous à Création d'un certificat à gérer en externe.

    1. Sur la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des certificats.
    2. Sous Compartiment, sélectionnez le compartiment dans lequel créer le certificat. Le certificat peut se trouver dans le même compartiment que l'autorité de certification ou dans un autre compartiment.
    3. Sous Type de certificat, pour émettre un certificat à partir d'une autorité de certification du service Certificates qui gère ensuite également le certificat, sélectionnez Emis par l'autorité de certification interne.
    4. Entrez un nom d'affichage unique pour le certificat. Evitez de saisir des informations confidentielles.
      Remarque

      Deux certificats de la location ne peuvent pas partager le même nom, y compris les certificats en attente de suppression.
    5. (Facultatif) Entrez une description pour faciliter l'identification du certificat. Evitez de saisir des informations confidentielles.
    6. (Facultatif) Pour appliquer des balises, sélectionnez Afficher les options de balisage. Pour plus d'informations sur les balises, reportez-vous à Balises de ressource.
    7. Sélectionnez Suivant.
    8. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent un nom commun permettant d'identifier le propriétaire du certificat. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou une adresse d'ordinateur. Les informations sur le sujet peuvent également inclure des noms DNS ou des adresses IP en tant que noms de sujet alternatifs servant à identifier le propriétaire du certificat. Vous pouvez utiliser des caractères génériques afin d'émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    9. (Facultatif) Pour ajouter d'autres noms de sujet, sélectionnez + Autre nom de sujet alternatif, sélectionnez le type d'adresse, puis entrez le nom. Lorsque vous êtes prêt, sélectionnez Suivant.
    10. Sélectionnez un type de profil de certificat parmi les profils suivants en fonction de l'utilisation prévue du certificat :
      • Serveur ou client TLS : présenté par un serveur ou un client pour les connexions TLS/SSL.
      • Serveur TLS : présenté par un serveur pour les connexions TLS/SSL.
      • Client TLS : présenté par un client lors des connexions TLS/SSL.
      • Signature de code TLS : présenté par un programme pour valider sa signature.
    11. Pour modifier l'autorité de certification qui émet le certificat, sélectionnez Autorité de certification d'émetteur, puis une autorité de certification. Si l'autorité de certification se trouve dans un compartiment différent de celui sélectionné pour le certificat, sélectionnez Modifier le compartiment, puis un autre compartiment.
    12. (Facultatif) Sélectionnez Non valide avant, puis entrez une date avant laquelle le certificat ne pourra pas être utilisé pour valider l'identité de son titulaire. Si vous n'indiquez aucune date, la période de validité du certificat commence immédiatement. Les valeurs sont arrondies à la seconde.
    13. Sélectionnez Non valide après, puis modifiez la date à partir de laquelle le certificat n'est plus une preuve valide de l'identité de son titulaire. Vous devez indiquer une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être ultérieure à la date d'expiration de l'autorité de certification émettrice. Vous ne pouvez également pas indiquer une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde. En règle générale, les certificats sont utilisés pendant toute la durée de leur validité, à moins qu'un événement ne nécessite leur révocation.
    14. Pour Algorithme de clé, sélectionnez l'algorithme et la combinaison de longueur de clé dont vous avez besoin pour la paire de clés de certificat parmi les options suivantes :
      • RSA2048 : clé RSA (Rivest-Shamir-Adleman) 2048 bits
      • RSA4096 : clé RSA (Rivest-Shamir-Adleman) 4096 bits
      • ECDSA_P256 : clé ECDSA (algorithme de signature numérique à courbe elliptique) avec un ID de courbe P256
      • ECDSA_P384 : clé ECDSA avec un ID de courbe P384
    15. (Facultatif) Sélectionnez Afficher les champs supplémentaires, puis, sous Algorithme de signature, sélectionnez l'un des algorithmes de signature suivants, selon la clé :
      • SHA256_WITH_RSA : clé RSA (Rivest-Shamir-Adleman) avec une fonction de hachage SHA-256
      • SHA384_WITH_RSA : clé RSA avec une fonction de hachage SHA-384
      • SHA512_WITH_RSA : clé RSA avec une fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : clé ECDSA (algorithme de signature numérique à courbe elliptique) avec une fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    16. Pour configurer le renouvellement automatique du certificat afin d'éviter toute interruption de son utilisation, spécifiez une valeur différente de zéro pour les paramètres suivants :
      • Intervalle de renouvellement (jours) : fréquence de renouvellement du certificat
      • Période de renouvellement anticipée (en jours) : nombre de jours avant l'expiration du certificat où le renouvellement a lieu
      Pour une flexibilité maximale, renouveler le certificat avant la fin de sa période de validité et avec un délai de renouvellement suffisamment avancé en cas de défaillance. Un certificat qui expire avant que le service puisse le renouveler peut entraîner des interruptions de service.
      Lorsque vous êtes prêt, sélectionnez Suivant.
    17. Vérifiez que les informations sont correctes, puis sélectionnez Créer un certificat.
      La création des ressources associées aux certificats peut prendre un certain temps.

  • Utilisez la commande oci certs-mgmt certificate create-certificate-issued-by-internal-ca et les paramètres requis pour créer un certificat émis par le service Certificates :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Par exemple :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Exécutez l'opération CreateCertificate pour créer un certificat que vous prévoyez de gérer en interne.