Documentazione dell'infrastruttura Oracle Cloud

Portare la propria autorità di certificazione

Bring Your Own Certificate Authority (BYOCA) per OCI Certificates offre alle aziende la flessibilità di integrare l'infrastruttura Certificate Authority (CA) esistente direttamente in OCI, mantenendo il pieno controllo delle chiavi private.

Le aziende oggi gestiscono ambienti PKI maturi e profondamente radicati che supportano migliaia di applicazioni, obblighi normativi e catene di fiducia di lunga data. Ricostruire questa gerarchia nel cloud è costoso, rischioso e raramente fattibile. I clienti hanno bisogno di un modo sicuro e prevedibile per connettere i loro CA root esistenti in OCI, mantenere la continuità della fiducia e adottare l'automazione cloud senza interrompere le operazioni.

BYOCA è costruito proprio per questo.

Portare la propria autorità di certificazione radice

È possibile importare un'autorità di certificazione root esterna (CA) nei certificati OCI fornendo il certificato (PEM), senza mai caricare le chiavi private. OCI registra la CA come root CA gestita esternamente, mantenendo la fiducia con un'infrastruttura a chiave pubblica esistente, garantendo al contempo che le chiavi rimangano esclusivamente sotto il tuo controllo.

Per importare la CA radice, effettuare le operazioni riportate di seguito.

  1. Nella console OCI, aprire il menu principale (☰ menu hamburger) e andare a Identità e sicurezza, quindi selezionare Certificati.
  2. In Autorizzazioni certificato selezionare Importa autorità di certificazione.
  3. Immettere il nome e il descrizione.
  4. Selezionare il compartimento per la CA radice.
  5. Caricare o incollare il file PEM del certificato CA radice in OCI. Aggiungere una descrizione della chiave esterna.
  6. Selezionare Importa.
Nota

Per ulteriori dettagli sull'importazione del certificato, vedere: Importazione dell'autorità di certificazione personale

Creazione di una CA subordinata gestita da OCI

Dopo aver importato la CA radice, generare una richiesta di firma certificato (CSR) in OCI. Per creare una nuova CA subordinata (subCA), selezionare Autorità di certificazione subordinata: CA esterna emessa, gestita internamente dalla finestra di dialogo Crea autorità di certificazione. Quindi, firmare questo CSR esternamente utilizzando le chiavi CA radice esistenti e caricare di nuovo il certificato firmato in OCI. A quel punto, il servizio OCI Certificates attiva la CA subordinata e la gestisce per conto dell'utente, utilizzando chiavi memorizzate in modo sicuro nel servizio KMS (Key Management Service) OCI. La CA subordinata richiede una chiave supportata da HSM (Hardware Security Module).

Passi per creare una CA subordinata

Per creare una CA subordinata, effettuare le operazioni riportate di seguito.

  1. Importa CA radice esterna in OCI. Vedere la sezione precedente.
  2. Passare alla pagina elenco Autorizzazioni certificato, quindi selezionare Crea autorità di certificazione. Per assistenza nella ricerca della pagina di elenco, vedere Elenca autorità di certificazione.
  3. In Informazioni di base immettere il nome e la descrizione.
  4. Selezionare il compartimento per la CA radice.
  5. Selezionare Autorità di certificazione esterna subordinata emessa e gestita internamente.

Compilare le sezioni rimanenti nella finestra di dialogo CA.

(1) Informazioni sull'oggetto

Informazioni sull'oggetto: immettere il nome comune che identifica la CA subordinata creata all'interno della gerarchia di certificati dell'organizzazione.

Compilare qualsiasi opzione Nome distinto oggetto aggiuntivo in base alle esigenze.

(2) Configurazione autorità

Configurazione autorità:
  • Seleziona:
    • Compartimento: compartimento di destinazione per la CA radice.
    • Autorità di certificazione dell'emittente: la CA radice esterna importata che funge da autorità padre per questa CA subordinata.
  • Seleziona:
    • Compartimento: compartimento di destinazione per il vault.
    • Vault: il vault che memorizza la chiave.
  • Seleziona:
    • Compartimento: compartimento di destinazione per la chiave.
    • Chiave: la chiave per la CA.

(3) Regole

Per configurare le regole, effettuare le operazioni riportate di seguito.

  1. Regola di scadenza: abilitata. Il valore predefinito.
    • Durata massima di validità per il certificato: il valore consigliato è 90 giorni.
    • Durata massima validità per CA subordinata: il valore consigliato è 1095 giorni (3 anni).

    Modificare i periodi di validità in base ai requisiti dell'organizzazione.

  2. Regola di emissione: abilitata. Il valore predefinito.
    • Vincolo lunghezza percorso: specificare la lunghezza.
    • Vincolo nome: definire qualsiasi vincolo di nome che definisca i nomi oggetto dei certificati o il SAN che questa CA è autorizzata a emettere.
    Per configurare le regole di emissione, specificare la lunghezza del percorso consentita e gli eventuali vincoli di nome che definiscono i nomi oggetto dei certificati/SAN che questa CA è autorizzata a emettere.

(4) Configurazione revoca

È possibile configurare una posizione per la pubblicazione di un elenco di revoca dei certificati (CRL). Una CRL specifica le versioni di una CA o di un certificato considerati non più affidabili e non validi prima della fine del periodo di validità. Le impostazioni di revoca possono essere aggiornate in qualsiasi momento.

  • Abilita revoca: abilitata. Il valore predefinito.
  • Compartimento: compartimento per il bucket di storage degli oggetti.
  • Bucket di storage degli oggetti: selezionare il bucket di destinazione.
  • Formato nome oggetto: specificare un formato per i file oggetto.
  • URL formattato personalizzato: specificare un URL formattato personalizzato come punto di distribuzione CRL (CDP).

Revisione

Esaminare le opzioni di configurazione. Selezionare Crea autorità di certificazione.

In questo modo viene creata un'entità CA subordinata in OCI.

Passi per attivare una CA subordinata

Per attivare la CA subordinata, effettuare le operazioni riportate di seguito.

  1. Passare alla pagina elenco Autorizzazioni certificato. Per assistenza nella ricerca della pagina di elenco, vedere Elenca autorità di certificazione.
  2. Selezionare la CA subordinata creata di recente.
  3. Andare alla scheda Versioni. Nella fase Pending_Activation. Selezionare il menu Azioni (tre punti) per la versione e selezionare Scarica CSR.
  4. Prendere l'addetto al servizio clienti scaricato e firmare l'addetto al servizio clienti con la CA esterna.
  5. Tornare alla stessa scheda Versioni e selezionare Attiva. Caricare il certificato firmato e selezionare Attiva.

Il risultato dopo aver creato e attivato la CA:

  • Una CA subordinata completamente operativa
  • Opzione flessibile di chiavi private generate o importate all'interno di OCI KMS
  • Gestione completa del ciclo di vita OCI ed emissione di certificati direttamente da SubCA.

Puoi anche importare le proprie coppie di chiavi asimmetriche per le CA subordinate direttamente in OCI KMS, offrendo loro una maggiore flessibilità nel modo in cui le chiavi vengono create e controllate.

Riepilogo

Con BYOCA puoi:

  • Estendi una gerarchia CA radice esistente in OCI senza esporre le chiavi private.
  • Crea CA subordinate gestite da OCI utilizzando gli addetti al servizio clienti firmati dalla radice esterna.
  • Emetti certificati direttamente dalle CA subordinate gestite da OCI utilizzando chiavi sicure supportate dal servizio KMS.
  • Questo colma il divario tra i tuoi attuali investimenti PKI e i vantaggi di automazione e scalabilità di OCI.

I vantaggi includono:

  • Maggiore flessibilità: sfrutta l'infrastruttura CA, i criteri e i modelli di governance esistenti in OCI senza riprogettare.
  • Migliore interoperabilità: connetti gli ambienti ibridi senza sforzo. BYOCA semplifica l'esecuzione di carichi di lavoro distribuiti in locale, multi-cloud e OCI.
  • Compliance più solida: Alignment BYOCA supporta modelli di separazione dei compiti, requisiti normativi e obblighi di audit rigorosi, mentre OCI gestisce il ciclo di vita operativo delle CA subordinate in una piattaforma sicura e conforme.
  • Opzioni di sicurezza più forti: decidi dove risiedono le chiavi e come vengono gestite. Mantieni il controllo completo delle chiavi root, mentre OCI gestisce l'onere operativo delle CA subordinate.