Documentazione di Oracle Cloud Infrastructure

Firma della CSR

Scopri come firmare una richiesta di firma certificato (CSR, Certificate Signing Request) nell'ambito dell'inizializzazione di un cluster HSM in OCI Dedicated Key Management.

Prerequisito: questo task viene completato dopo aver scaricato la richiesta di firma certificato, come descritto in Scaricamento di una richiesta di firma certificato.

Per firmare, è necessario prima creare un certificato di firma autofirmato e utilizzarlo per firmare la richiesta di firma certificato (CSR). Per firmare, è necessario completare i seguenti task:
  1. Generare una coppia di chiavi RSA per la risorsa cluster HSM. Questa chiave è denominata chiave PO (Partition Owner). Assicurarsi di memorizzare la chiave e la passphrase in una posizione sicura, ad esempio un vault KMS. È possibile utilizzare la chiave per firmare la richiesta di firma della partizione scaricata nel passo precedente.
    $ openssl genrsa -aes256 -out customerPO.key 
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for customerPO.key:
Verifying - Enter pass phrase for customerPO.key:
  2. Utilizzare la chiave del proprietario della partizione (customerPO.key) per generare un certificato del proprietario della partizione (partitionOwnerCert.pem). Il comando seguente genera il certificato valido solo per dieci anni. Se necessario, è possibile modificare la data di scadenza, ma la scadenza deve essere di almeno 5 anni. Il certificato del proprietario della partizione deve essere condiviso con gli utenti KMS dedicati.
    $ openssl req -new -x509 -days 3650 -key customerPO.key -out partitionOwnerCert.pem
Enter pass phrase for customerPO.key:
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:CA
Locality Name (eg, city) []:SJ
Organization Name (eg, company) []:Oracle
Organizational Unit Name (eg, section) []:Sec
Common Name (eg, fully qualified host name) []:kms
Email Address []:
  3. Firma il CSR (partitionCsr .csr) utilizzando la chiave Proprietario partizione (customerPO.key) e partitionOwnerCert.pem (creata nei passi precedenti) per generare partitionCert.pem.
    $ openssl x509 -req -days 3650 -in partitionCsr.csr -CA partitionOwnerCert.pem -CAkey customerPO.key -CAcreateserial -out partitionCert.pem
Signature ok
subject=/C=US/ST=CA/L=Default City/O=Default Company Ltd/CN=user1
Getting CA Private Key
Enter pass phrase for customerPO.key:
$ ls
customerPO.key  partitionCert.pem  partitionOwnerCert.pem  partitionOwner.srl
  4. Codificare partitionCert.pem e partitionOwnerCert.pem in basare 64 utilizzando i comandi seguenti. Questo passo è necessario solo per l'interfaccia CLI.
  5. Caricare i certificati partitionCert.pem e partitionOwnerCert.pem nel cluster HSM.
    openssl base64 -A -in partitionCert.pem
openssl base64 -A -in partitionOwnerCert.pem