Autorità di certificazione
Utilizzare Certificati per creare e gestire le autorità di certificazione (CA) che emettono certificati digitali.
Le attività di gestione dell'autorità di certificazione includono quanto segue:
- Lista delle autorità di certificazione
- Creazione di un'autorità di certificato
- Portare la propria autorità di certificazione
- Importazione dell'autorità di certificazione
- Emissione di un'autorità di certificazione subordinata
- Recupero dei dettagli di un'autorità di certificazione
- Modifica di un'autorità di certificato
- Modifica di una lista di revoche di certificato
- Modifica delle regole dell'autorità di certificato
- Visualizzazione delle associazioni dell'autorità di certificazione
- Rinnovo di un'autorità di certificato
- Spostamento di un'autorità di certificato tra compartimenti
- Eliminazione di un'autorità di certificato
- Annullamento dell'eliminazione dell'autorità di certificato
Ogni autorità di certificazione dispone di una o più versioni. Pertanto, la gestione delle autorità di certificazione include anche i task specifici per le versioni delle autorità di certificazione:
- Lista delle versioni dell'autorità di certificazione
- Visualizzazione dei dettagli sulla versione dell'autorità di certificazione
- Visualizzazione dei gruppi di versioni dell'autorità di certificazione
- Come rendere corrente una versione dell'autorità di certificazione
- Revoca di una versione dell'autorità di certificazione (supportata solo per le autorità di certificazione subordinate)
- Eliminazione di una versione dell'autorità di certificazione
Criteri IAM necessari
Per utilizzare Oracle Cloud Infrastructure, devi ottenere l'accesso di sicurezza in un criterio (IAM) da un amministratore. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che segnala che non si dispone dell'autorizzazione o che non si dispone dell'autorizzazione, verificare con l'amministratore il tipo di accesso di cui si dispone e in quale compartimento si deve lavorare.
Per alcune operazioni, il servizio Certificati richiede anche che le risorse dispongano dell'accesso di sicurezza non concesso dai criteri che coprono utenti o gruppi. In questa sezione viene descritto come autorizzare gli utenti e le risorse che devono agire su altre risorse.
Passo 1: Creare un gruppo dinamico
resource.type='certificateauthority'Questa regola di corrispondenza definisce un gruppo dinamico che include tutte le autorità di certificazione come membri. Questo gruppo dinamico è necessario per autorizzare le autorità di certificazione a effettuare chiamate API su altri servizi, se necessario. Le autorità di certificazione in genere richiedono l'autorizzazione per accedere alle risorse di Oracle Cloud Infrastructure Vault e Oracle Cloud Infrastructure Object Storage. Per ulteriori informazioni sui gruppi dinamici, vedere Gestione dei gruppi dinamici.
Passo 2: Creare un criterio per il gruppo dinamico
Dopo aver creato il gruppo dinamico, è possibile creare un criterio per il gruppo dinamico. Nel criterio riportato di seguito, il gruppo dinamico ha il nome di esempio CertificateAuthority-DG. Il criterio concede ai membri del gruppo dinamico l'autorizzazione a utilizzare le chiavi vault e a eseguire qualsiasi operazione con gli oggetti di storage degli oggetti nei compartimenti di esempio specificati. Questo tipo di criterio viene definito come criterio principal risorsa perché autorizza una risorsa come attore principale che può agire su altre risorse.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZPasso 3: aggiungere un criterio per gli amministratori
Inoltre, è necessario un criterio per autorizzare gli amministratori ad accedere alle risorse. Il criterio riportato di seguito consente al gruppo di esempio CertificateAuthorityAdmins di eseguire qualsiasi operazione sulle risorse incluse nel tipo di risorsa aggregata certificate-authority-family e di utilizzare le risorse Vault e di storage degli oggetti necessarie nei compartimenti di esempio specificati, in base alle esigenze. Sono incluse le autorizzazioni necessarie per specificare la chiave di cifratura per l'autorità di certificazione.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFInsieme, queste istruzioni forniscono l'accesso minimo necessario per completare i task amministrativi con le autorità di certificazione, come descritto più avanti in questo argomento. Per ulteriori informazioni sulle autorizzazioni o se è necessario scrivere criteri meno restrittivi, vedere Dettagli per il servizio Certificati. Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.