Documentazione di Oracle Cloud Infrastructure

Creazione di un certificato

Creare un certificato da gestire internamente, inclusa la chiave privata del certificato.

Per creare un certificato, è necessario disporre del livello di accesso di sicurezza appropriato. Per ulteriori informazioni, vedere Criterio IAM obbligatorio.

È possibile creare un certificato in diversi modi, ad esempio utilizzando il servizio Certificati per emettere un certificato e importare un certificato emesso da un'autorità di certificazione (CA) di terze parti. Per la procedura di importazione di un certificato, vedere Importazione di un certificato.

Diversi modi di gestire un certificato influiscono anche sul processo di creazione. Quando si emette un certificato, è possibile generare e gestire la chiave privata internamente utilizzando la stessa CA per gestire tutti gli elementi. È inoltre possibile generare una richiesta di firma certificato (CSR) e una chiave privata sul server in cui si prevede di installare il certificato, quindi sottomettere tale richiesta CSR a una CA per emettere un certificato, gestendo la chiave privata esternamente. Questo task descrive come emettere un certificato che si prevede di gestire internamente. Per la procedura per emettere un certificato gestito esternamente con una CA di terze parti, vedere Creazione di un certificato da gestire esternamente.

    1. Nella pagina di elenco Certificati, selezionare Crea certificato. Per informazioni su come trovare la pagina dell'elenco, vedere Elenco dei certificati.
    2. In Compartimento selezionare il compartimento in cui si desidera creare il certificato. Il certificato può esistere nello stesso compartimento della CA o in un altro compartimento.
    3. In Tipo di certificato, per emettere un certificato da una CA del servizio Certificati che gestisce anche il certificato, selezionare Emesso dalla CA interna.
    4. Immettere un nome visualizzato univoco per il certificato. Evitare di fornire informazioni riservate.
      Nota

      Due certificati nella tenancy non possono condividere lo stesso nome, inclusi i certificati in attesa di eliminazione.
    5. (Facoltativo) Immettere una descrizione per facilitare l'identificazione del certificato. Evitare di fornire informazioni riservate.
    6. (Facoltativo) Per applicare le tag, selezionare Mostra opzioni di applicazione tag. Per ulteriori informazioni sui tag, vedere Tag risorsa.
    7. Selezionare Successivo.
    8. Fornire informazioni sull'oggetto. Le informazioni sull'oggetto includono un nome comune per identificare il proprietario del certificato. A seconda dell'uso previsto del certificato, il soggetto potrebbe identificare una persona, un'organizzazione o un endpoint del computer. Le informazioni sull'oggetto possono anche includere nomi DNS o indirizzi IP come nomi alternativi oggetto con cui è noto anche il portatore del certificato. È possibile utilizzare caratteri jolly per emettere un certificato per più nomi di dominio o sottodominio.
    9. (Facoltativo) Per aggiungere altri nomi alternativi dell'oggetto, selezionare + Altro nome alternativo dell'oggetto, selezionare il tipo di indirizzo, quindi immettere il nome. Quando si è pronti, selezionare Avanti.
    10. Selezionare un tipo di profilo certificato dai seguenti profili in base all'uso previsto del certificato:
      • Server TLS o client: presentato da un server o da un client per le connessioni TLS/SSL.
      • Server TLS: presentato da un server per le connessioni TLS/SSL.
      • Client TLS: presentato da un client durante le connessioni TLS/SSL.
      • TLS Code Sign: presentato da un programma per convalidare la firma.
    11. Per modificare la CA che emette il certificato, selezionare Autorità di certificazione dell'emittente, quindi selezionare una CA. Se necessario, selezionare Modifica compartimento, quindi selezionare un compartimento diverso se la CA si trova in un compartimento diverso da quello selezionato per il certificato.
    12. (Facoltativo) Selezionare Non valido prima, quindi immettere una data prima della quale il certificato non può essere utilizzato per convalidare l'identità del relativo portatore. Se non si specifica una data, il periodo di validità del certificato inizia immediatamente. I valori vengono arrotondati al secondo più vicino.
    13. Selezionare Non valido dopo, quindi modificare la data dopo la quale il certificato non è più valido per la prova dell'identità del relativo portatore. Specificare una data successiva di almeno un giorno alla data di inizio del periodo di validità. La data non deve superare la scadenza della CA emittente. Non è inoltre possibile specificare una data successiva al 31 dicembre 2037. I valori vengono arrotondati al secondo più vicino. In genere, i certificati vengono utilizzati per l'intero periodo in cui sono validi, a meno che non si verifichi qualcosa che richieda la revoca.
    14. Per Algoritmo chiave, selezionare la combinazione di algoritmo e lunghezza chiave necessaria per la coppia di chiavi del certificato dalle seguenti opzioni:
      • RSA2048: chiave Rivest-Shamir-Adleman (RSA) a 2048 bit
      • RSA4096: chiave RSA a 4096 bit
      • ECDSA_P256: chiave dell'algoritmo di firma digitale della crittografia della curva ellittica (ECDSA) con un ID della curva P256
      • ECDSA_P384: chiave ECDSA con ID curva P384
    15. (Facoltativo) Selezionare Mostra campi aggiuntivi, quindi in Algoritmo firma selezionare uno dei seguenti algoritmi di firma, a seconda della chiave:
      • SHA256_WITH_RSA: chiave Rivest-Shamir-Adleman (RSA) con funzione hash SHA-256
      • SHA384_WITH_RSA: chiave RSA con funzione hash SHA-384
      • SHA512_WITH_RSA: chiave RSA con funzione hash SHA-512
      • SHA256_WITH_ECDSA: chiave dell'algoritmo di firma digitale della crittografia della curva ellittica (ECDSA) con una funzione hash SHA-256
      • SHA384_WITH_ECDSA: chiave ECDSA con funzione hash SHA-384
      • SHA512_WITH_ECDSA: chiave ECDSA con funzione hash SHA-512

        Quando si è pronti, selezionare Avanti.

    16. Per configurare il rinnovo automatico del certificato in modo da evitare interruzioni nel suo utilizzo, specificare un valore diverso da zero per le seguenti impostazioni:
      • Intervallo rinnovo (giorni): frequenza di rinnovo del certificato
      • Periodo di rinnovo anticipo (giorni): il numero di giorni prima della scadenza del certificato in cui si verifica il rinnovo.
      Per la massima flessibilità, rinnovare il certificato prima della fine del suo periodo di validità e con un tempo di rinnovo sufficiente in caso di guasti. Un certificato che scade prima che il servizio possa rinnovarlo correttamente può causare interruzioni del servizio.
      Quando si è pronti, selezionare Avanti.
    17. Verificare che le informazioni fornite siano corrette e selezionare Crea certificato.
      La creazione di risorse correlate ai certificati può richiedere del tempo.

  • Utilizzare il comando oci certs-mgmt certificate create-certificate-issued-by-internal-ca e i parametri richiesti per creare un certificato emesso dal servizio Certificati:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Ad esempio:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateCertificate per creare un certificato che si prevede di gestire internamente.