Emissione di un'autorità di certificazione subordinata
Creare un'autorità di certificazione subordinata (CA).
Per creare un'autorità di certificazione subordinata, è necessario disporre già di un'autorità di certificazione radice in Oracle Cloud Infrastructure Certificates. È possibile emettere un'autorità di certificazione subordinata da qualsiasi altra autorità di certificazione purché non superi il numero totale consentito di autorità di certificazione nella tenancy.
La creazione di un'autorità di certificazione richiede l'accesso a una chiave di cifratura asimmetrica protetta dall'hardware esistente dal servizio Oracle Cloud Infrastructure Vault. Per ulteriori informazioni, vedere Panoramica del vault.
Quando si crea un'autorità di certificazione con una lista di revoca dei certificati (CRL), è possibile specificare un bucket di storage degli oggetti OCI in cui si desidera memorizzare il CRL. Il bucket deve esistere già al momento della creazione dell'autorità di certificazione.
Emettere un'autorità di certificazione subordinata in base al tipo di certificato.
Emissione di una CA subordinata per una CA creata internamente
Utilizzare il comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e i parametri richiesti per emettere una CA subordinata:
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>Ad esempio:
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.
Emissione di una CA subordinata per una CA creata esternamente
Utilizzare il comando
create-subordinate-ca-managed-internally-issued-by-external-cae i parametri richiesti per emettere una CA subordinata:oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca --issuer-certificate-authority-id <your_certificate_authority_id> --subject '{ <your_json_data> }' --compartment-id <your-compartment-id> --name <your_certificate_authority_name> --kms-key-id <your_kms_id>Ad esempio:
oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca \ --issuer-certificate-authority-id ocid1.certificateauthority.oc1.us-sanjose-1.amaaaaaaxkd4eg... \ --subject '{ "commonName": "Example-CN-SubCA-From-ExternalRootCA" }' \ --compartment-id ocid1.compartment.oc1..aaaaaaaa7zl... \ --name Example_Subbordinate_CA \ --kms-key-id ocid1.key.oc1.us-sanjose-1.grtxobgpaaf7...Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.
Eseguire l'operazione CreateCertificateAuthority per emettere un'autorità di certificazione subordinata.