Documentazione di Oracle Cloud Infrastructure

Creazione di un certificato

Creare un certificato da gestire internamente, inclusa la chiave privata del certificato.

Per creare un certificato, è necessario disporre del livello di accesso di sicurezza appropriato. Per ulteriori informazioni, vedere Criterio IAM obbligatorio.

È possibile creare un certificato in diversi modi, ad esempio utilizzando il servizio Certificati per emettere un certificato e importando un certificato emesso da un'autorità di certificazione (CA) di terze parti. Per la procedura di importazione di un certificato, vedere Importazione di un certificato.

Quando si emette un certificato, è possibile generare e gestire internamente la chiave privata utilizzando la stessa CA per gestire tutto. È inoltre possibile generare una richiesta di firma certificato (CSR) e una chiave privata sul server in cui si prevede di installare il certificato, quindi sottomettere tale richiesta di firma certificato a una CA per emettere un certificato, gestendo la chiave privata esternamente.

In questo argomento viene descritto come emettere un certificato che si intende gestire internamente. Per la procedura di emissione di un certificato gestito esternamente con una CA di terze parti, vedere Creazione di un certificato da gestire esternamente.

  • Nella pagina di elenco Certificati selezionare Crea certificato. Per assistenza nella ricerca della pagina di elenco, vedere Elenca certificati.

    Viene visualizzato il pannello Crea certificato.

    La creazione di un certificato è costituita dalle pagine seguenti:

    • informazioni di base
    • Informazioni sull'oggetto
    • Configurazione certificato
    • Regole
    • Riepilogo

    Eseguire ciascuno dei flussi di lavoro riportati di seguito in ordine. È possibile tornare a una pagina precedente selezionando Precedente.

    informazioni di base

    Immettere le informazioni riportate di seguito.

    • Nome: immettere il nome del certificato. Nessun certificato nella tenancy può condividere lo stesso nome, inclusi i certificati in attesa di eliminazione.
    • Descrizione: (facoltativo) immettere una descrizione per il certificato.
    • Compartimento: selezionare il compartimento in cui risiede il certificato dalla lista.
    • Tipo di certificato: selezionare una delle opzioni seguenti:
      • Emesso dalla CA interna: crea un certificato emesso e gestito da un'autorità di certificazione (CA) privata del servizio Certificati.
      • Emesso dalla CA interna, gestito esternamente: crea un certificato emesso da un'autorità di certificazione privata del servizio Certificati che si desidera gestire al di fuori del servizio.

    Applicazione di tag

    Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.

    Selezionare Next.

    Informazioni sull'oggetto

    La pagina Informazioni sull'oggetto contiene un nome comune per identificare il proprietario del certificato. A seconda dell'uso previsto del certificato, il soggetto potrebbe identificare una persona, un'organizzazione o un endpoint del computer. Le informazioni sull'oggetto possono anche includere nomi DNS o indirizzi IP come nomi alternativi dell'oggetto con cui è noto anche il portatore del certificato. È possibile utilizzare i caratteri jolly per emettere un certificato per più nomi di dominio o sottodominio.

    Immettere le informazioni riportate di seguito.

    • Nome comune: immettere un nome comune.
    • Nomi alternativi oggetto: selezionare una delle opzioni riportate di seguito e immettere il valore corrispondente.
      • Nome DNS
      • Indirizzo IP

      Selezionare Altro nome alternativo dell'oggetto per aggiungere un altro nome DNS o indirizzo IP.

    Campi aggiuntivi

    Immettere le informazioni richieste, ad esempio il nome, l'indirizzo e le informazioni organizzative dell'oggetto. Per informazioni dettagliate su ciascun valore di un nome distinto per l'oggetto, vedere RFC 5280.

    Selezionare Next.

    Configurazione certificato

    Immettere le informazioni riportate di seguito.

    • Server o client TLS: selezionare una delle opzioni indicate di seguito dall'elenco.
      • Server o cliente TLS: presentato da un server o un client per le connessioni TLS/SSL.
      • Server TLS: presentato da un server per le connessioni TLS/SSL.
      • Client TLS: presentato da un client durante le connessioni TLS/SSL.
      • Segno del codice TLS: presentato da un programma per convalidarne la firma.
    • Compartimento dell'autorità di certificazione dell'emittente: selezionare il compartimento contenente l'autorità di certificazione che si desidera utilizzare.
    • Autorità di certificazione dell'emittente: selezionare l'autorità di certificazione desiderata. Le autorità di certificazione elencate sono quelle contenute nel compartimento delle autorità di certificazione dell'autorità emittente selezionato.
    • Non valido prima: immettere la data (mm/dd/yyyy) o utilizzare lo strumento calendario per specificare prima di quale certificato non è possibile utilizzare per convalidare l'identità del relativo portatore. Se non si specifica una data, il periodo di validità del certificato inizia immediatamente.
    • Ora: immettere l'ora (hh:mm) in UTC per il giorno specificato in precedenza in cui il certificato non è valido.
    • Non valido dopo: immettere la data (mm/dd/yyyy) o utilizzare lo strumento calendario per specificare dopo di che il certificato non è più una prova valida dell'identità del portatore. Specificare una data successiva di almeno un giorno alla data di inizio del periodo di validità. La data non deve superare la scadenza dell'autorità di certificazione emittente.

      Impossibile specificare una data successiva al 31 dicembre 2037. In genere, i certificati vengono utilizzati per l'intero periodo in cui sono validi a meno che non si verifichi qualcosa che richiede la revoca. Il valore predefinito è tre mesi dopo la creazione del certificato.

    • Ora: immettere l'ora (hh:mm) in UTC per il giorno in cui è stato specificato che il certificato non è valido dopo.
    • Algoritmo chiave: selezionare la combinazione di algoritmo e lunghezza della chiave necessaria per la coppia di chiavi del certificato tra le seguenti opzioni:
      • RSA2048: chiave RSA (Rivest-Shamir-Adleman) a 2048 bit.
      • RSA4096: chiave RSA a 4096 bit.
      • ECDSA_P256: chiave ECDSA (Elliptic Curve Cryptography Digital Signature Algoritmo) con ID curva P256.
      • ECDSA_P384: chiave ECDSA con ID curva P384.

    Mostra campi aggiuntivi

    Algoritmo di firma: (facoltativo) selezionare uno dei seguenti algoritmi di firma, a seconda dell'autorità di certificazione selezionata:

    • SHA256_WITH_RSA: chiave Rivest-Shamir-Adleman (RSA) con una funzione hash SHA-256.
    • SHA384_WITH_RSA: chiave RSA con funzione hash SHA-384.
    • SHA512_WITH_RSA: chiave RSA con funzione hash SHA-512.
    • SHA256_WITH_ECDSA: chiave ECDSA (Elliptic Curve Cryptography Digital Signature Algoritmo) con una funzione hash SHA-256.
    • SHA384_WITH_ECDSA: chiave ECDSA con funzione hash SHA-384.
    • SHA512_WITH_ECDSA: chiave ECDSA con funzione hash SHA-512.

    Selezionare Next.

    Regole

    Nella pagina Regole è possibile selezionare le impostazioni delle regole di rinnovo. Per la massima flessibilità, rinnovare il certificato prima della fine del periodo di validità e con un tempo di rinnovo sufficiente in caso di guasti. Un certificato che scade prima che il servizio possa rinnovarlo correttamente può causare interruzioni del servizio.

    • Intervallo di rinnovo (giorni): specificare il numero di giorni dopo i quali la regola viene rinnovata.
    • Periodo di rinnovo anticipato (giorni): specificare il numero di giorni in cui il certificato viene rinnovato.

    Selezionare Next.

    Riepilogo

    Rivedere il contenuto della pagina Riepilogo. Selezionare Modifica per aggiungere o modificare le informazioni nella pagina associata. Quando le impostazioni sono completamente verificate, selezionare Crea certificato.

    Il certificato creato viene visualizzato nella pagina elenco Certificati.

  • Utilizzare il comando oci certs-mgmt certificate create-certificate-issued-by-internal-ca e i parametri richiesti per creare un certificato:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Ad esempio:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateCertificate per creare un certificato che si prevede di gestire internamente.