Documentazione di Oracle Cloud Infrastructure

Emissione di un'autorità di certificazione subordinata

Emettere un'autorità di certificazione (CA) subordinata.

Per creare una CA subordinata, è necessario disporre già di una CA radice in Oracle Cloud Infrastructure Certificates. È possibile emettere una CA subordinata da qualsiasi altra CA purché non si superi il numero totale consentito di CA nella tenancy.

La creazione di una CA richiede l'accesso a una chiave di cifratura asimmetrica protetta da hardware esistente dal servizio Oracle Cloud Infrastructure Vault. Per ulteriori informazioni, vedere Panoramica del vault.

Quando crei una CA con una lista di revoche dei certificati (CRL), puoi specificare un bucket di storage degli oggetti OCI in cui vuoi memorizzare la CRL. Il bucket deve esistere già al momento della creazione della CA.

    1. Nella pagina di elenco Autorità di certificazione, selezionare il nome della CA dalla quale si desidera emettere una CA subordinata. Per informazioni su come trovare la pagina dell'elenco, vedere Elenco delle autorità di certificazione.

      Per trovare una CA in un compartimento diverso, in Ambito lista selezionare un compartimento diverso.

    2. In Risorse selezionare Autorità di certificazione subordinate.
    3. Selezionare Problema Subordinate Certificate Authority.
    4. In Compartimento selezionare il compartimento in cui si desidera creare la CA.
    5. Immettere un nome visualizzato univoco per la CA. Questo nome consente di identificare la CA a scopo amministrativo, ma non viene visualizzato come parte del certificato CA. Evitare di fornire informazioni riservate.
      Nota

      Due CA nella tenancy non possono condividere lo stesso nome, incluse le CA in attesa di eliminazione.
    6. (Facoltativo) Immettere una descrizione per facilitare l'identificazione della CA. Questa descrizione consente di identificare la CA, ma non viene visualizzata come parte del certificato CA. Evitare di fornire informazioni riservate.
    7. (Facoltativo) Per applicare le tag, selezionare Mostra opzioni di applicazione tag. Per ulteriori informazioni sui tag, vedere Tag risorsa.
    8. Quando si è pronti, selezionare Avanti.
    9. Fornire informazioni sull'oggetto. Le informazioni sull'oggetto includono almeno un nome comune per identificare il proprietario del certificato CA. A seconda dell'uso previsto del certificato, il soggetto potrebbe identificare una persona, un'organizzazione o un endpoint del computer. È possibile utilizzare caratteri jolly per emettere un certificato per più nomi di dominio o sottodominio.
    10. (Facoltativo) Per fornire ulteriori informazioni sull'oggetto dell'autorità di certificazione, selezionare Mostra campi aggiuntivi. Per informazioni dettagliate su ciascuno dei valori in un nome distinto di oggetto, vedere RFC 5280. Quando si è pronti, selezionare Avanti.
    11. (Facoltativo) Selezionare Non valido prima, quindi specificare l'ora e la data UTC in cui si desidera iniziare a utilizzare la CA. Se non si specifica una data, il periodo di validità CA inizia immediatamente.
    12. Selezionare Non valido dopo, quindi specificare la data dopo la quale la CA non può più essere utilizzata per emettere o convalidare CA o certificati subordinati. È necessario specificare una data successiva di almeno un giorno alla data di inizio del periodo di validità. Impossibile specificare una data successiva al 31 dicembre 2037. I valori vengono arrotondati al secondo più vicino.)
    13. In Vault, selezionare il vault contenente la chiave di cifratura che si desidera utilizzare per il certificato CA. Se necessario, selezionare Modifica compartimento per specificare un compartimento diverso.
    14. In Chiave, selezionare la chiave nel vault che si desidera utilizzare. La lista include solo chiavi asimmetriche nel vault perché i certificati supportano solo chiavi asimmetriche. Inoltre, l'elenco include solo chiavi della stessa famiglia di algoritmi chiave della chiave utilizzata dalla CA padre. È possibile selezionare tra le chiavi Rivest-Shamir-Adleman (RSA) che sono 2.048 bit o 4.096 bit. È anche possibile selezionare dalle chiavi dell'algoritmo di firma digitale per la crittografia della curva ellittica (ECDSA) con ID curva ellittica NIST_P384. In particolare, l'elenco include solo i seguenti tipi di chiavi asimmetriche protette da un modulo di sicurezza hardware (HSM, Hardware Security Module). I certificati non supportano l'uso di chiavi protette da software. Per informazioni sulla creazione e la gestione delle chiavi, vedere Gestione delle chiavi.
    15. Selezionare Algoritmo di firma, quindi selezionare una delle seguenti opzioni, a seconda della famiglia di algoritmi chiave:
      • SHA256_WITH_RSA: chiave Rivest-Shamir-Adleman (RSA) con funzione hash SHA-256
      • SHA384_WITH_RSA: chiave RSA con funzione hash SHA-384
      • SHA512_WITH_RSA: chiave RSA con funzione hash SHA-512
      • SHA256_WITH_ECDSA: chiave dell'algoritmo di firma digitale della crittografia della curva ellittica (ECDSA) con una funzione hash SHA-256
      • SHA384_WITH_ECDSA: chiave ECDSA con funzione hash SHA-384
      • SHA512_WITH_ECDSA: chiave ECDSA con funzione hash SHA-512

        Quando si è pronti, selezionare Avanti.

    16. Configurare la regola di scadenza. In Durata massima di validità per i certificati (giorni) specificare il numero massimo di giorni durante i quali un certificato emesso da questa CA può essere valido. Si consiglia vivamente un periodo di validità non superiore a 90 giorni.
    17. In Durata massima di validità per CA subordinata (giorni), specificare il numero massimo di giorni in cui una CA emessa da questa CA può essere valida per emettere altre CA o certificati. Quando si è pronti, selezionare Avanti.
    18. Nella pagina Configurazione revoca, se non si desidera configurare un elenco di revoche certificato (CRL), selezionare la casella di controllo Salta revoca. Per configurare la revoca del certificato, deselezionare la casella di controllo, quindi specificare un bucket di storage degli oggetti in cui si prevede di memorizzare il CRL. Se necessario, selezionare Modifica compartimento per trovare un bucket in un compartimento diverso.
    19. In Formato nome oggetto specificare il nome dell'oggetto. È possibile includere parentesi graffe nel nome dell'oggetto per indicare dove il servizio può inserire il numero di versione CA emittente. Ciò consente di evitare la sovrascrittura di una CRL esistente ogni volta che si crea un'altra versione CA. Per ulteriori informazioni sui nomi oggetto, vedere Nomi oggetto.
    20. (Facoltativo) Selezionare URL formattati personalizzati, quindi fornire l'URL che si desidera utilizzare con le API per accedere all'oggetto. Questo URL viene indicato nei certificati come punto di distribuzione CRL (CDP). È possibile includere parentesi graffe nell'URL per indicare dove il servizio può inserire il numero di versione CA emittente. In questo modo, è possibile evitare di sovrascrivere una CDP esistente ogni volta che si crea un'altra versione CA. È possibile specificare un URL HTTPS solo se non esistono dipendenze circolari nella verifica della catena HTTPS.
    21. (Facoltativo) Per fornire un'altra CDP, selezionare + Altro URL, quindi fornire un altro URL in cui gli utenti possono accedere alla CRL.
    22. Quando si è pronti, selezionare Avanti.
    23. Verificare che le informazioni siano corrette, quindi selezionare Crea autorità di certificazione.
      La creazione di risorse correlate ai certificati può richiedere del tempo.

  • Utilizzare il comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e i parametri richiesti per emettere una CA subordinata:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Ad esempio:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Eseguire l'operazione CreateCertificateAuthority per emettere una CA subordinata.