Gestione delle autorità di certificazione
Utilizzare Certificati per creare e gestire le autorità di certificazione che emettono certificati digitali.
I task di gestione dell'autorità di certificazione (CA) includono i seguenti:
- Elenco delle autorità di certificazione
- Creazione di un'autorità di certificazione
- Emissione di un'autorità di certificazione subordinata
- Visualizzazione dei dettagli dell'autorità di certificazione
- Modifica di un'autorità di certificazione
- Modifica di una lista di revocazioni di certificati
- Modifica delle regole dell'autorità di certificazione
- Visualizzazione delle associazioni delle autorità di certificazione
- rinnovo di un'autorità di certificazione
- Spostamento autorità di certificazione
- Eliminazione di un'autorità di certificazione
- Annullamento eliminazione autorità di certificazione
Ogni CA ha una o più versioni CA. Di conseguenza, la gestione CA include anche le seguenti attività specifiche per le versioni CA:
- Elenco versioni autorità di certificazione
- Visualizzazione dei dettagli della versione dell'autorità di certificazione
- Visualizzazione dei bundle di versione dell'autorità di certificazione
- Come rendere corrente la versione di un'autorità di certificazione
- Revoca di una versione dell'autorità di certificazione (supportata solo per le CA subordinate)
- Eliminazione di una versione autorità di certificazione
Criteri IAM necessari
Per utilizzare Oracle Cloud Infrastructure, devi ottenere l'accesso di sicurezza in un criterio (IAM) da un amministratore. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che segnala che non si dispone dell'autorizzazione o che non si dispone dell'autorizzazione, verificare con l'amministratore il tipo di accesso di cui si dispone e in quale compartimento si deve lavorare.
Per alcune operazioni, il servizio Certificati richiede anche che le risorse dispongano dell'accesso di sicurezza non concesso dai criteri che coprono utenti o gruppi. In questa sezione viene descritto come autorizzare gli utenti e le risorse che devono agire su altre risorse.
Passo 1: Creare un gruppo dinamico
resource.type='certificateauthority'Questa regola di corrispondenza definisce un gruppo dinamico che include tutte le CA come membri. È necessario questo gruppo dinamico per autorizzare le CA a effettuare chiamate API su altri servizi, in base alle esigenze. Le CA in genere hanno bisogno dell'autorizzazione per accedere alle risorse di Oracle Cloud Infrastructure Vault e Oracle Cloud Infrastructure Object Storage. Per ulteriori informazioni sui gruppi dinamici, vedere Gestione dei gruppi dinamici.
Passo 2: Creare un criterio per il gruppo dinamico
Dopo aver creato il gruppo dinamico, è possibile creare un criterio per il gruppo dinamico. Nel criterio riportato di seguito, il gruppo dinamico ha il nome di esempio CertificateAuthority-DG. Il criterio concede ai membri del gruppo dinamico l'autorizzazione a utilizzare le chiavi vault e a eseguire qualsiasi operazione con gli oggetti di storage degli oggetti nei compartimenti di esempio specificati. Questo tipo di criterio viene definito come criterio principal risorsa perché autorizza una risorsa come attore principale che può agire su altre risorse.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZPasso 3: aggiungere un criterio per gli amministratori
È inoltre necessario un criterio per autorizzare gli amministratori ad accedere alle risorse. Il criterio riportato di seguito consente al gruppo di esempio CertificateAuthorityAdmins di eseguire qualsiasi operazione con qualsiasi risorsa inclusa nel tipo di risorsa aggregata certificate-authority-family e di utilizzare le risorse necessarie di vault e storage degli oggetti nei compartimenti di esempio specificati, in base alle esigenze. Sono incluse le autorizzazioni necessarie per specificare la chiave di cifratura per la CA.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFInsieme, queste istruzioni forniscono l'accesso minimo necessario per completare i task amministrativi con le autorità di certificazione, come descritto più avanti in questo argomento. Per ulteriori informazioni sulle autorizzazioni o se è necessario scrivere criteri meno restrittivi, vedere Dettagli per il servizio Certificati. Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.