Documentation Oracle Cloud Infrastructure

Emission d'une autorité de certification subordonnée

Emettez une autorité de certification subordonnée.

Vous devez déjà disposer d'une autorité de certification racine dans Oracle Cloud Infrastructure Certificates pour créer une autorité de certification subordonnée. Vous pouvez émettre une autorité de certification subordonnée à partir de n'importe quelle autre autorité de certification tant que vous ne dépassez pas le nombre total autorisé d'autorités de certification dans la location.

Pour créer une autorité de certification, vous devez avoir accès à une clé de cryptage asymétrique existante protégée par matériel à partir du service Oracle Cloud Infrastructure Vault. Pour plus d'informations, reportez-vous à Présentation de Vault.

Lorsque vous créez une CA avec une liste de certificats révoqués, vous pouvez indiquer un bucket OCI Object Storage dans lequel stocker cette liste. Le bucket doit déjà exister au moment de la création de l'autorité de certification.

    1. Sur la page de liste Autorités de certification, sélectionnez le nom de l'autorité de certification à partir de laquelle vous voulez émettre une autorité de certification subordonnée. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à la section Liste des autorités de certification.

      Pour rechercher une autorité de certification dans un autre compartiment, sélectionnez un autre compartiment sous Portée de la liste.

    2. Sous Ressources, sélectionnez Autorités de certification subordonnées.
    3. Sélectionnez Emettre une autorité de certification subordonnée.
    4. Sous Compartiment, sélectionnez le compartiment dans lequel créer l'autorité de certification.
    5. Entrez le nom d'affichage unique de l'AC. Ce nom vous aide à identifier l'AC à des fins d'administration mais il n'apparaît pas dans le certificat de l'AC. Evitez de saisir des informations confidentielles.
      Remarque

      Deux autorités de certification de la location ne peuvent pas partager le même nom, y compris les autorités de certification en attente de suppression.
    6. (Facultatif) Entrez une description pour identifier plus facilement l'autorité de certification. Cette description vous aide à identifier l'autorité de certification, mais elle n'apparaît pas dans le certificat de l'autorité de certification. Evitez de saisir des informations confidentielles.
    7. (Facultatif) Pour appliquer des balises, sélectionnez Afficher les options de balisage. Pour plus d'informations sur les balises, reportez-vous à Balises de ressource.
    8. Lorsque vous êtes prêt, sélectionnez Suivant.
    9. Fournissez des informations sur le sujet. Les informations sur le sujet comprennent au moins un nom commun permettant d'identifier le propriétaire du certificat de l'autorité de certification. Selon l'utilisation prévue du certificat, le sujet peut identifier une personne, une organisation ou une adresse d'ordinateur. Vous pouvez utiliser des caractères génériques afin d'émettre un certificat pour plusieurs noms de domaine ou de sous-domaine.
    10. (Facultatif) Pour fournir plus d'informations sur l'objet de l'autorité de certification, sélectionnez Afficher les champs supplémentaires. Pour plus d'informations sur chacune des valeurs d'un nom distinctif d'objet, reportez-vous à la norme RFC 5280. Lorsque vous êtes prêt, sélectionnez Suivant.
    11. (Facultatif) Sélectionnez Non valide avant, puis indiquez l'heure et la date UTC à partir desquelles vous voulez commencer à utiliser l'autorité de certification. Si vous n'indiquez aucune date, la période de validité de l'autorité de certification commence immédiatement.
    12. Sélectionnez Non valide après, puis indiquez la date à partir de laquelle l'autorité de certification ne peut plus être utilisée pour émettre ou valider des autorités de certification subordonnées ou des certificats. (Vous devez indiquer une date postérieure d'au moins un jour à la date de début de la période de validité. Vous ne pouvez pas indiquer une date postérieure au 31 décembre 2037. Les valeurs sont arrondies à la seconde.)
    13. Sous Coffre, sélectionnez le coffre qui contient la clé de cryptage à utiliser pour le certificat d'autorité de certification. Si nécessaire, sélectionnez Modifier le compartiment pour indiquer un autre compartiment.
    14. Sous Clé, sélectionnez la clé du coffre à utiliser. La liste comprend uniquement les clés asymétriques du coffre car ce sont les seules clés prises en charge par Certificates. De plus, la liste inclut uniquement les clés de la même famille d'algorithmes de clé que celle utilisée par l'autorité de certification parent. Vous pouvez choisir parmi les clés Rivest-Shamir-Adleman (RSA) qui sont 2 048 bits ou 4 096 bits. Vous pouvez également sélectionner des clés d'algorithme de signature numérique à courbe elliptique (ECDSA) dont l'ID de courbe elliptique est NIST_P384. Plus précisément, la liste inclut uniquement les types de clé asymétrique protégée par un module de sécurité HSM. Certificates ne prend pas en charge l'utilisation de clés protégées par logiciel. Pour plus d'informations sur la création et la gestion des clés, reportez-vous à Gestion des clés.
    15. Sélectionnez Algorithme de signature, puis choisissez l'une des options suivantes, en fonction de la famille d'algorithmes clés :
      • SHA256_WITH_RSA : clé RSA (Rivest-Shamir-Adleman) avec une fonction de hachage SHA-256
      • SHA384_WITH_RSA : clé RSA avec une fonction de hachage SHA-384
      • SHA512_WITH_RSA : clé RSA avec une fonction de hachage SHA-512
      • SHA256_WITH_ECDSA : clé ECDSA (algorithme de signature numérique à courbe elliptique) avec une fonction de hachage SHA-256
      • SHA384_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-384
      • SHA512_WITH_ECDSA : clé ECDSA avec une fonction de hachage SHA-512

        Lorsque vous êtes prêt, sélectionnez Suivant.

    16. Configurez la règle d'expiration. Sous Maximum Validity Duration for Certificates (Days), indiquez le nombre maximal de jours de validité d'un certificat émis par cette AC. Nous vous recommandons vivement de ne pas définir de période de validité de plus 90 jours.
    17. Sous Durée de validité maximale de l'autorité de certification subordonnée (jours), indiquez le nombre maximal de jours pendant lesquels une autorité de certification émise par cette autorité de certification peut être valide pour émettre d'autres autorités de certification ou des certificats. Lorsque vous êtes prêt, sélectionnez Suivant.
    18. Sur la page Configuration de révocation, si vous ne voulez pas configurer de liste de certificats, cochez la case Ignorer la révocation. Pour configurer la révocation de certificat, décochez la case, puis indiquez un bucket Object Storage dans lequel vous prévoyez de stocker la liste de certificats révoqués. Si nécessaire, sélectionnez Modifier le compartiment pour rechercher un bucket dans un autre compartiment.
    19. Sous Format de nom d'objet, indiquez le nom de l'objet. Vous pouvez inclure des accolades dans le nom de l'objet pour indiquer l'endroit où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cela permet d'éviter l'écrasement d'une CRL existante chaque fois que vous créez une autre version de l'AC. Pour plus d'informations sur les noms d'objet, reportez-vous à Noms d'objet.
    20. (Facultatif) Sélectionnez URL formatées personnalisées, puis indiquez l'URL à utiliser avec les API pour accéder à l'objet. Cette URL est désignée comme le point de distribution de la liste des certificats révoqués dans les certificats. Vous pouvez inclure des accolades dans l'URL pour indiquer l'endroit où le service peut insérer le numéro de version de l'autorité de certification émettrice. Cela vous permet d'éviter d'écraser un CDP existant à chaque fois que vous créez une autre version de l'AC. (Vous ne pouvez spécifier une URL HTTPS que s'il n'existe aucune dépendance circulaire dans la vérification de la chaîne HTTPS.)
    21. (Facultatif) Pour fournir une autre CDP, sélectionnez + Autre URL, puis indiquez une autre URL dans laquelle les utilisateurs peuvent accéder à la liste des certificats révoqués.
    22. Lorsque vous êtes prêt, sélectionnez Suivant.
    23. Vérifiez que les informations sont correctes, puis sélectionnez Créer une autorité de certification.
      La création des ressources associées aux certificats peut prendre un certain temps.

  • Utilisez la commande oci certs-mgmt certificat-authority create-subordinate-ca-issued-by-internal-ca et les paramètres requis pour émettre une CA subordonnée :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Par exemple :

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Exécutez l'opération CreateCertificateAuthority pour émettre une autorité de certification subordonnée.