Documentation Oracle Cloud Infrastructure

Création d'un certificat

Créez un certificat pour gérer en interne, y compris la clé privée du certificat.

Vous devez disposer du niveau d'accès de sécurité approprié pour créer un certificat. Pour plus d'informations, reportez-vous à Stratégie IAM requise.

Vous pouvez créer un certificat de plusieurs manières, notamment en utilisant le service Certificates pour émettre un certificat et en important un certificat émis par une autorité de certification tierce. Pour découvrir les étapes d'import d'un certificat, reportez-vous à la section Import d'un certificat.

Lorsque vous émettez un certificat, vous pouvez générer et gérer la clé privée en interne pour tout gérer à l'aide d'une seule autorité de certification. Vous pouvez aussi générer une requête de signature de certificat (CSR) et un clé privée sur le serveur sur lequel vous envisagez d'installer le certificat, puis soumettre ce CSR à une Autorité de certification pour émettre un certificat tout en gérant la clé privée en interne.

Cette rubrique explique comment émettre un certificat que vous prévoyez de gérer en interne. Pour connaître les étapes d'émission d'un certificat à gestion externe à l'aide d'une Autorité de certification tierce, reportez-vous à la section Création d'un certificat à gestion externe.

  • Sur la page de liste Certificats, sélectionnez Créer un certificat. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des certificats.

    Le panneau Créer un certificat s'ouvre.

    La création d'un certificat se compose des pages suivantes :

    • Informations de base
    • Informations sur le sujet
    • Configuration du certificat
    • Règles
    • Récapitulatif

    Exécutez chacun des workflows suivants dans l'ordre. Vous pouvez revenir à une page précédente, en sélectionnant Précédent.

    Informations de base

    Saisissez les informations suivantes :

    • Nom : saisissez le nom du certificat. Aucun certificat de la location ne peut partager le même nom, y compris les certificats en attente de suppression.
    • Description : (facultatif) entrez une description du certificat.
    • Compartiment : sélectionnez le compartiment dans lequel réside le certificat dans la liste.
    • Type de certificat : sélectionnez l'une des options suivantes :
      • Emis par une autorité de certification interne : crée un certificat émis et géré par une autorité de certification privée du service Certificates.
      • Emis par l'autorité de certification interne, géré en externe : crée un certificat émis par une autorité de certification privée du service Certificates que vous prévoyez de gérer en dehors du service.

    Balisage

    Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

    Sélectionnez Suivant.

    Informations sur le sujet

    La page Informations sur le sujet vous permet de fournir un nom commun pour identifier le propriétaire du certificat. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou une adresse d'ordinateur. Les informations sur le sujet peuvent également inclure des noms DNS ou des adresses IP en tant que noms alternatifs de sujet servant également à identifier le propriétaire du certificat. Vous pouvez utiliser des caractères génériques pour émettre un certificat correspondant à plusieurs noms de domaine ou de sous-domaine.

    Saisissez les informations suivantes :

    • Nom commun : entrez un nom commun.
    • Autres noms d'objet : sélectionnez l'une des options suivantes et entrez la valeur correspondante :
      • Nom DNS
      • Adresse IP

      Sélectionnez Autre nom d'objet pour ajouter un autre nom DNS ou une autre adresse IP.

    Champs supplémentaires

    Saisissez les informations demandées, telles que le nom, l'adresse et les informations sur l'organisation de la matière. Pour plus d'informations sur chacune des valeurs d'un nom distinctif de sujet, reportez-vous à la norme RFC 5280.

    Sélectionnez Suivant.

    Configuration du certificat

    Saisissez les informations suivantes :

    • Serveur ou client TLS : sélectionnez l'une des options suivantes dans la liste :
      • Serveur ou client TLS : présenté par un serveur ou un client pour les connexions TLS/SSL.
      • Serveur TLS : présenté par un serveur pour les connexions TLS/SSL.
      • Client TLS : présenté par un client lors des connexions TLS/SSL.
      • Signe de code TLS : présenté par un programme pour valider sa signature.
    • Compartiment de l'autorité de certification de l'émetteur : sélectionnez le compartiment contenant l'autorité de certification à utiliser.
    • Autorité de certification de l'émetteur : sélectionnez l'autorité de certification souhaitée. Les autorités de certification répertoriées sont celles contenues dans le compartiment d'autorité de certification de l'émetteur que vous avez sélectionné.
    • Non valide avant : entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour indiquer avant quel certificat ne peut pas être utilisé pour valider l'identité de son porteur. Si vous n'indiquez aucune date, la durée de validité du certificat commence immédiatement.
    • Heure : entrez l'heure (hh:mm) au format UTC pour le jour que vous avez indiqué que le certificat n'est pas valide auparavant.
    • Non valide après : entrez la date (mm/dd/yyyy) ou utilisez l'outil de calendrier pour spécifier après quoi le certificat n'est plus une preuve valide de l'identité de son porteur. Vous devez indiquer une date postérieure d'au moins un jour à la date de début de la période de validité. La date ne doit pas être ultérieure à la date d'expiration de l'autorité de certification émettrice.

      Vous n'êtes pas autorisé à indiquer une date postérieure au 31 décembre 2037. En règle générale, les certificats sont utilisés pendant toute la durée de validité, sauf si un évènement requiert leur révocation. La valeur par défaut est trois mois après la création du certificat.

    • Heure : entrez l'heure (hh:mm) au format UTC pour le jour où vous avez indiqué que le certificat n'est pas valide après.
    • Algorithme de clé : sélectionnez la combinaison algorithme/longueur de clé dont vous avez besoin pour la paire de clés de certificat parmi les options suivantes :
      • RSA2048 : clé 2048 bits de Rivest-Shamir-Adleman (RSA).
      • RSA4096 : clé RSA 4096 bits.
      • ECDSA_P256 : clé ECDSA (algorithme à courbe elliptique) de signature numérique de cryptographie à courbe elliptique) avec un ID P256.
      • ECDSA_P384 : clé ECDSA avec un ID P384 courbe.

    Afficher des champs supplémentaires

    Algorithme de signature : (facultatif) sélectionnez l'un des algorithmes de signature suivants, selon l'autorité de certification que vous avez sélectionnée :

    • SHA256_WITH_RSA : clé Rivest-Shamir-Adleman (RSA) avec une fonction d'empreinte SHA-256.
    • SHA384_WITH_RSA : clé RSA avec une fonction du hachage SHA-384.
    • SHA512_WITH_RSA : clé RSA avec une fonction SHA-512 de hachage.
    • SHA256_WITH_ECDSA : clé ECDSA (algorithme à courbe elliptique) avec une fonction d'empreinte SHA-256.
    • SHA384_WITH_ECDSA : clé ECDSA avec une fonction d' hachage SHA-384.
    • SHA512_WITH_ECDSA : clé ECDSA avec une fonction d' hachage SHA-512.

    Sélectionnez Suivant.

    Règles

    La page Règles permet de sélectionner les paramètres de règle de renouvellement. Pour une flexibilité maximale, renouvelez le certificat avant la fin de sa période de validité et avec suffisamment de temps de renouvellement en cas de défaillance. Un certificat qui expire avant que le service puisse le renouveler peut entraîner des interruptions de service.

    • Intervalle de renouvellement (jours) : indiquez le nombre de jours après lesquels la règle est renouvelée.
    • Période de renouvellement anticipé (jours) : indiquez le nombre de jours pendant lesquels le certificat est renouvelé.

    Sélectionnez Suivant.

    Synthèse

    Vérifiez le contenu de la page Récapitulatif. Sélectionnez Modifier pour ajouter ou modifier des informations sur la page associée. Une fois les paramètres vérifiés, sélectionnez Créer un certificat.

    Le certificat que vous avez créé apparaît dans la page de liste Certificats.

  • Pour créer un certificat, utilisez la commande oci certs-mgmt certificate create-certificate-issued-by-internal-ca et les paramètres requis :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Par exemple :

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'CLI.

  • Exécutez l'opération CreateCertificate pour créer un certificat que vous prévoyez de gérer en interne.