Documentazione di Oracle Cloud Infrastructure

Creazione di un'autorità di certificazione

Utilizzare il servizio Certificati per creare un'autorità di certificazione root (CA) o un'autorità di certificazione subordinata.

È necessario disporre già di un'autorità di certificazione radice per creare un'autorità di certificazione subordinata.

Per creare un'autorità di certificazione è necessario disporre del livello di accesso di sicurezza appropriato. Per ulteriori informazioni, vedere Criteri IAM obbligatori.

La creazione di un'autorità di certificazione richiede l'accesso a una chiave di cifratura asimmetrica protetta dall'hardware esistente dal servizio Oracle Cloud Infrastructure (OCI) Vault. Per ulteriori informazioni, vedere Panoramica del vault.

Quando si crea un'autorità di certificazione con una lista di revoca dei certificati (CRL), è possibile specificare un bucket di storage degli oggetti OCI in cui si desidera memorizzare il CRL. Il bucket deve esistere già al momento della creazione dell'autorità di certificazione. Il bucket deve essere anche un bucket dedicato che non si utilizza per altri scopi o per memorizzare il CRL di qualsiasi altra autorità di certificazione.

  • Nella pagina elenco Autorizzazioni certificato, selezionare Crea autorità di certificazione. Per assistenza nella ricerca della pagina di elenco o dell'autorità di certificazione, vedere Elenco delle autorità di certificazione.

    Viene visualizzato il pannello Crea autorità di certificazione.

    La creazione di un'autorità di certificazione è costituita dalle pagine riportate di seguito.

    • informazioni di base
    • Informazioni sull'oggetto
    • Configurazione autorità
    • Regole
    • Configurazione revoca
    • Riepilogo

    Eseguire ciascuno dei flussi di lavoro riportati di seguito in ordine. È possibile tornare a una pagina precedente selezionando Precedente.

    informazioni di base

    Immettere le informazioni riportate di seguito.

    • Nome: immettere il nome del certificato. Nessuna autorità di certificazione nella tenancy può condividere lo stesso nome, incluse le autorità di certificazione in attesa di eliminazione.
    • Descrizione: (facoltativo) immettere una descrizione per l'autorità di certificazione.
    • Compartimento: selezionare il compartimento in cui risiede l'autorità di certificazione dalla lista.
    • Tipo di autorità del certificato: selezionare una delle opzioni riportate di seguito.
      • Autorità di certificazione radice: crea un'autorità di certificazione (autorità di certificazione) che emette certificati digitali e ne gestisce la revoca. Un'autorità di certificazione in genere contiene altre autorità di certificazione con relazioni padre-figlio definite tra loro. L'autorità di certificazione nella parte superiore di una gerarchia è denominata autorità di certificazione root.
      • Autorità di certificazione subordinata: crea un'autorità di certificazione subordinata che è un'entità intermedia all'interno di una gerarchia di altre entità che emettono certificati digitali.
      • Autorità di certificazione subordinata: CA esterna emessa, gestita internamente: crea un'autorità di certificazione subordinata emessa dall'autorità di certificazione root esterna, ma gestita internamente (chiavi memorizzate) nel modulo di sicurezza hardware OCI (HSM). Creare qui una richiesta di firma certificato e completarne l'emissione tramite l'autorità esterna di certificazione.

    Applicazione di tag

    Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.

    Selezionare Next.

    Informazioni sull'oggetto

    La pagina Informazioni oggetto include almeno un nome comune per identificare il proprietario del certificato dell'autorità di certificazione. A seconda dell'uso previsto del certificato, il soggetto potrebbe identificare una persona, un'organizzazione o un endpoint del computer. Il formato delle informazioni sull'oggetto deve essere conforme agli standard RFC 5280. È possibile utilizzare i caratteri jolly per emettere un certificato per più nomi di dominio o sottodominio.

    Immettere le informazioni riportate di seguito.

    • Nome comune: immettere un nome comune.

    Campi aggiuntivi

    Immettere le informazioni richieste, ad esempio il nome, l'indirizzo e le informazioni organizzative dell'oggetto. Per informazioni dettagliate su ciascun valore di un nome distinto per l'oggetto, vedere RFC 5280.

    Selezionare Next.

    Configurazione autorità

    Immettere le informazioni riportate di seguito.

    • Compartimento autorità di certificazione emittente: (solo autorità di certificazione subordinata) selezionare il compartimento contenente l'autorità di certificazione padre che si desidera emettere l'autorità di certificazione subordinata che si sta creando.
    • Autorità di certificato dell'emittente: (solo autorità di certificato subordinata) selezionare l'autorità di certificato subordinata desiderata. Le autorità di certificazione subordinate elencate sono quelle contenute nel compartimento dell'autorità di certificazione dell'emittente selezionato. Se è stata selezionata l'opzione Autorità di certificazione subordinata: CA esterna emessa, gestita internamente, assicurarsi di scegliere la radice esterna come padre RootCA.
    • Non valido prima: immettere la data (mm/dd/yyyy) o utilizzare lo strumento calendario per specificare prima di quale autorità di certificazione non può essere utilizzata per convalidare l'identità del portatore. Se non si specifica una data, il periodo di validità dell'autorità di certificazione inizia immediatamente.
    • Ora: immettere l'ora (hh:mm) in UTC per il giorno specificato in precedenza in cui l'autorità di certificazione non era valida.
    • Non valido dopo: immettere la data (mm/dd/yyyy) o utilizzare lo strumento calendario per specificare dopo di che l'autorità di certificazione non è più una prova valida dell'identità del portatore. Specificare una data successiva di almeno un giorno alla data di inizio del periodo di validità. La data non deve superare la scadenza dell'autorità di certificazione emittente.

      Impossibile specificare una data successiva al 31 dicembre 2037. In genere, le autorità di certificazione vengono utilizzate per l'intero periodo in cui sono valide, a meno che non si verifichi qualcosa che richiede la revoca. Il valore predefinito è tre mesi dopo la creazione dell'autorità di certificazione.

    • Ora: immettere l'ora (hh:mm) in UTC per il giorno specificato che l'autorità di certificazione non è valida dopo.
    • Vault nel compartimento: selezionare il compartimento contenente il vault contenente la chiave di cifratura che si desidera utilizzare per il certificato dell'autorità di certificazione.
    • Vault in: selezionare il vault contenente la chiave di cifratura che si desidera utilizzare per il certificato dell'autorità di certificazione. I vault elencati sono quelli contenuti nel compartimento vault selezionato.
    • Chiave nel compartimento: selezionare il compartimento contenente la chiave di cifratura nel vault che si desidera utilizzare per il certificato dell'autorità di certificazione.
    • Chiave in: selezionare la chiave che si desidera utilizzare. L'elenco include solo le chiavi asimmetriche nel vault perché Certificates supporta solo chiavi asimmetriche. È possibile selezionare da Rivest-Shamir-Adleman (RSA) chiavi che sono 2,048 bit o 4,096 bit.

      È inoltre possibile selezionare chiavi ECDSA (Elliptic Curve Cryptography Digital Signature Algoritmo) con ID curva ellittica NIST_P384. Nell'elenco sono inclusi solo i tipi di chiavi asimmetriche protette da un modulo HSM (Hardware Security Module). I certificati non supportano l'uso di chiavi protette da software. Per informazioni sulla creazione e la gestione delle chiavi, vedere Gestione delle chiavi.

    • Algoritmo di firma: selezionare una delle seguenti opzioni, a seconda della famiglia di algoritmi chiave:
      • SHA256_WITH_RSA: chiave RSA con funzione hash SHA-256.
      • SHA384_WITH_RSA: chiave RSA con funzione hash SHA-384.
      • SHA512_WITH_RSA: chiave RSA con funzione hash SHA-512.
      • SHA256_WITH_ECDSA: chiave ECDSA con funzione hash SHA-256.
      • SHA384_WITH_ECDSA: chiave ECDSA con funzione hash SHA-384.
      • SHA512_WITH_ECDSA: chiave ECDSA con funzione hash SHA-512.

    Selezionare Next.

    Regole

    La pagina Regole consente di configurare le regole in modo da applicare vincoli a questa autorità di certificazione e alle risorse da essa emesse.

    Regola di scadenza

    È possibile specificare il periodo di tempo massimo durante il quale un certificato o un'autorità di certificazione subordinata emessi da questo certificato è valido. Le modifiche si applicano solo ai nuovi certificati e alla nuova autorità di certificazione subordinata emessa dopo aver apportato le modifiche.

    Abilitare Regola di scadenza per configurare le impostazioni riportate di seguito.

    • Durata massima di validità per i certificati (giorni): specificare il periodo di tempo massimo di validità di qualsiasi certificato emesso da questa autorità di certificazione.
    • Durata massima validità per CA subordinata (giorni): specificare il numero massimo di giorni in cui una CA emessa da questa CA può essere valida per emettere altre CA o certificati. Il valore consigliato è 1095 giorni (3 anni).

    Regola di emissione

    È possibile specificare regole di emissione per applicare determinate condizioni relative alle risorse emesse da questa autorità di certificazione. Un vincolo di lunghezza del percorso limita il numero di autorità di certificazione subordinate che possono avere un'autorità di certificazione. Un vincolo nome per i nomi oggetto del certificato specifica gli spazi di nomi consentiti per i moduli dei nomi gerarchici nei certificati emessi da qualsiasi autorità di certificazione in questa catena di certificati. Impossibile aggiornare le regole di emissione in un secondo momento.

    Abilitare Regola di emissione per configurare le impostazioni riportate di seguito.

    • Vincolo lunghezza percorso: selezionare la lunghezza massima (0-10) per le CA subordinate.
    • Tree secondarie escluse: specificare il tipo e il valore per bloccare determinati spazi di nomi. Selezionare Aggiungi struttura secondaria esclusa per creare un'altra voce.
    • Tree secondarie consentite: specificare il tipo e il valore per consentire determinati spazi di nomi. Selezionare Aggiungi struttura secondaria consentita per creare un'altra voce.

    Selezionare Next.

    Configurazione revoca

    La pagina Configurazione della revoca consente di configurare una posizione per la pubblicazione di un elenco di revoca dei certificati (CRL). Un CRL specifica le versioni di un'autorità di certificazione o di un certificato considerato non più affidabile e non valido prima della fine del periodo di validità. È possibile memorizzare un CRL in un bucket di storage degli oggetti o specificare un URL formattato personalizzato come punto di distribuzione CRL. Le impostazioni di revoca possono essere aggiornate in qualsiasi momento.

    Abilitare Revocazione per configurare le impostazioni riportate di seguito.

    • Compartimento bucket di storage degli oggetti: selezionare il compartimento contenente il bucket di storage degli oggetti in cui è possibile memorizzare un CRL.
    • Bucket di storage degli Oggetti: selezionare il bucket dello storage degli Oggetti desiderato. I bucket visualizzati sono quelli contenuti nel compartimento selezionato.
    • Formato nome oggetto: specificare il nome dell'oggetto. È possibile includere parentesi graffe nel nome dell'oggetto per indicare dove il servizio può inserire il numero di versione dell'autorità di certificazione emittente. Questa aggiunta impedisce la sovrascrittura di un CRL esistente ogni volta che si crea un'altra versione di un'autorità di certificazione. Per ulteriori informazioni sui nomi oggetto, vedere Nomi oggetto.

    URL formattati personalizzati

    Immettere l'URL che si desidera utilizzare con le API per accedere all'oggetto. Questo URL viene denominato nei certificati come punto di distribuzione CRL (CDP). È possibile includere parentesi graffe nell'URL per indicare dove il servizio può inserire il numero di versione dell'autorità di certificazione emittente. Questa aggiunta consente di evitare di sovrascrivere una CDP esistente ogni volta che si crea un'altra versione per un'autorità di certificazione. È possibile specificare un URL HTTPS solo se non esistono dipendenze circolari nella verifica della catena HTTPS.

    Per fornire un'altra CDP, selezionare + Altro URL, quindi fornire un altro URL in cui gli utenti possono accedere alla CRL.

    Selezionare Next.

    Riepilogo

    Rivedere il contenuto della pagina Riepilogo. Selezionare Modifica per aggiungere o modificare le informazioni nella pagina associata. Quando le impostazioni sono completamente verificate, selezionare Crea autorità di certificazione.

    L'autorità di certificazione creata viene visualizzata nella pagina elenco Autorità di certificazione.

  • Il comando utilizzato dipende dalla creazione di un'autorità di certificazione radice o di un'autorità di certificazione subordinata.

    Utilizzare il comando oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details e i parametri richiesti per creare un'autorità di certificazione root:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Ad esempio:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>

    Per creare un'autorità di certificazione subordinata, utilizzare il comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e i parametri richiesti:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Ad esempio:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateCertificateAuthority per creare un'autorità di certificazione.