Documentazione di Oracle Cloud Infrastructure

Creazione di un'autorità di certificazione

Utilizzare il servizio Certificati per creare un'autorità di certificazione (CA) radice o una CA subordinata.

È necessario disporre già di una CA radice per creare una CA subordinata.

Per creare una CA, è necessario disporre del livello di accesso di sicurezza appropriato. Per ulteriori informazioni, vedere Criterio IAM obbligatorio.

La creazione di una CA richiede l'accesso a una chiave di cifratura asimmetrica protetta da hardware esistente dal servizio Oracle Cloud Infrastructure (OCI) Vault. Per ulteriori informazioni, vedere Panoramica del vault.

Quando crei una CA con una lista di revoche dei certificati (CRL), puoi specificare un bucket di storage degli oggetti OCI in cui vuoi memorizzare la CRL. Il bucket deve esistere già al momento della creazione della CA. Il bucket deve inoltre essere un bucket dedicato che non viene utilizzato per altri scopi o per memorizzare il CRL di un'altra CA.

    1. Nella pagina di elenco Autorità di certificazione, selezionare Crea autorità di certificazione. Per informazioni su come trovare la pagina dell'elenco, vedere Elenco delle autorità di certificazione.
    2. Selezionare Compartimento, quindi selezionare il compartimento in cui si desidera creare la CA.
    3. In Tipo autorità certificato, selezionare il tipo di CA tra le opzioni riportate di seguito.
      • Autorità di certificazione radice: la CA nella parte superiore della gerarchia in una catena di CA.
      • Autorità di certificazione subordinata: qualsiasi CA che non sia la CA radice in una gerarchia contenente altre CA.
    4. Immettere un nome visualizzato univoco per la CA. Questo nome consente di identificare la CA a scopo amministrativo, ma non viene visualizzato come parte del certificato CA. Evitare di fornire informazioni riservate.
      Nota

      Due CA nella tenancy non possono condividere lo stesso nome, incluse le CA in attesa di eliminazione.
    5. (Facoltativo) Immettere una descrizione per facilitare l'identificazione della CA. Questa descrizione consente di identificare la CA, ma non viene visualizzata come parte del certificato CA. Evitare di fornire informazioni riservate.
    6. (Facoltativo) Per applicare le tag, selezionare Mostra opzioni di applicazione tag. Per ulteriori informazioni sui tag, vedere Tag risorsa.
    7. Selezionare Successivo.
    8. Fornire informazioni sull'oggetto. Le informazioni sull'oggetto includono almeno un nome comune per identificare il proprietario del certificato CA. A seconda dell'uso previsto del certificato, il soggetto potrebbe identificare una persona, un'organizzazione o un endpoint del computer. Il formato delle informazioni sull'oggetto deve essere conforme agli standard RFC 5280. È possibile utilizzare i caratteri jolly per emettere un certificato per più nomi di dominio o sottodominio.
    9. (Facoltativo) Per fornire ulteriori informazioni sull'oggetto dell'autorità di certificazione, selezionare Mostra campi aggiuntivi. Per informazioni dettagliate su ciascuno dei valori in un nome distinto di oggetto, vedere RFC 5280.
    10. Quando si è pronti, selezionare Avanti.
    11. (Facoltativo) Selezionare Non valido prima, quindi specificare l'ora e la data UTC in cui si desidera iniziare a utilizzare la CA. Se non si specifica una data, il periodo di validità CA inizia immediatamente.
    12. Selezionare Non valido dopo, quindi specificare la data dopo la quale la CA non può più essere utilizzata per emettere o convalidare CA o certificati subordinati. È necessario specificare una data successiva di almeno un giorno alla data di inizio del periodo di validità. Impossibile specificare una data successiva al 31 dicembre 2037. I valori vengono arrotondati al secondo più vicino.)
    13. Se si sta creando una CA subordinata, in Autorità di certificazione emittente specificare una CA padre per emettere questa CA. Se si sta creando una CA root, passare al passo successivo.
    14. In Vault, selezionare il vault contenente la chiave di cifratura che si desidera utilizzare per il certificato CA. Se si desidera, selezionare Modifica compartimento per specificare un compartimento diverso. Per informazioni sulla creazione e la gestione dei vault, vedere Gestione dei vault.
    15. In Chiave, selezionare la chiave nel vault che si desidera utilizzare. La lista include solo le chiavi asimmetriche nel vault perché i certificati supportano solo le chiavi asimmetriche. È possibile selezionare tra le chiavi Rivest-Shamir-Adleman (RSA) che sono 2.048 bit o 4.096 bit. È anche possibile selezionare le chiavi dell'algoritmo di firma digitale per la crittografia della curva ellittica (ECDSA) con ID curva ellittica NIST_P384. In particolare, l'elenco include solo i seguenti tipi di chiavi asimmetriche protette da un modulo di sicurezza hardware (HSM, Hardware Security Module). I certificati non supportano l'uso di chiavi protette da software. Per informazioni sulla creazione e la gestione delle chiavi, vedere Gestione delle chiavi.
    16. In Algoritmo di firma, selezionare una delle seguenti opzioni, a seconda della famiglia di algoritmi chiave:
      • SHA256_WITH_RSA: chiave RSA con funzione hash SHA-256
      • SHA384_WITH_RSA: chiave RSA con funzione hash SHA-384
      • SHA512_WITH_RSA: chiave RSA con funzione hash SHA-512
      • SHA256_WITH_ECDSA: chiave ECDSA con funzione hash SHA-256
      • SHA384_WITH_ECDSA: chiave ECDSA con funzione hash SHA-384
      • SHA512_WITH_ECDSA: chiave ECDSA con funzione hash SHA-512

        Quando si è pronti, selezionare Avanti.

    17. Configurare la regola di scadenza. In Durata massima di validità per i certificati (giorni) specificare il numero massimo di giorni durante i quali un certificato emesso da questa CA può essere valido. Si consiglia vivamente un periodo di validità non superiore a 90 giorni.
    18. In Durata massima di validità per CA subordinata (giorni), specificare il numero massimo di giorni in cui una CA emessa da questa CA può essere valida per emettere altre CA o certificati. Quando si è pronti, selezionare Avanti.
    19. Nella pagina Configurazione revoca, se non si desidera configurare un elenco di revoche certificato (CRL), selezionare la casella di controllo Salta revoca. Per configurare la revoca del certificato, deselezionare la casella di controllo, quindi specificare un bucket di storage degli oggetti dedicato in cui si prevede di memorizzare il CRL.
    20. (Facoltativo) Selezionare Modifica compartimento per trovare un bucket in un compartimento diverso.
    21. In Formato nome oggetto specificare il nome dell'oggetto. È possibile includere parentesi graffe nel nome dell'oggetto per indicare dove il servizio può inserire il numero di versione CA emittente. Questa aggiunta consente di evitare la sovrascrittura di un CRL esistente ogni volta che si crea un'altra versione CA. Per ulteriori informazioni sui nomi oggetto, vedere Nomi oggetto.
    22. (Facoltativo) In URL formattati personalizzati fornire l'URL che si desidera utilizzare con le API per accedere all'oggetto. Questo URL viene indicato nei certificati come punto di distribuzione CRL (CDP). È possibile includere parentesi graffe nell'URL per indicare dove il servizio può inserire il numero di versione CA emittente. Questa aggiunta consente di evitare di sovrascrivere una CDP esistente ogni volta che si crea un'altra versione CA. È possibile specificare un URL HTTPS solo se non esistono dipendenze circolari nella verifica della catena HTTPS.
    23. (Facoltativo) Per fornire un'altra CDP, selezionare + Altro URL, quindi fornire un altro URL in cui gli utenti possono accedere alla CRL.
    24. Quando si è pronti, selezionare Avanti.
    25. Verificare che le informazioni siano corrette, quindi selezionare Crea autorità di certificazione.
      La creazione di risorse correlate ai certificati può richiedere del tempo.

  • Il comando utilizzato dipende dal fatto che si desideri creare una CA radice o una CA subordinata.

    Utilizzare il comando oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details e i parametri richiesti per creare una CA root:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Ad esempio:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Per creare una CA subordinata, utilizzare il comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e i parametri obbligatori:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Ad esempio:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Eseguire l'operazione CreateCertificateAuthority per creare una CA.