Oracle Cloud Infrastructureドキュメント

自身の認証局の導入

OCI証明書の独自の認証局(BYOCA)を使用することで、企業は秘密キーを完全に制御しながら、既存の認証局(CA)インフラストラクチャをOCIに直接統合できます。

今日、企業は、数千ものアプリケーション、規制指令、長年の信頼チェーンをサポートする、成熟した深く根付いたPKI環境を運営しています。この階層をクラウドで再構築することは、高価でリスクがあり、ほとんど実現できません。お客様は、既存のルートCAをOCIに接続し、信頼の継続性を維持し、業務を中断することなくクラウド自動化を導入するための、安全で予測可能な方法を必要としています。

BYOCAはまさにそのために作られています。

独自のルート認証局の導入

外部ルート認証局(CA)をOCI証明書にインポートするには、秘密キーをアップロードせずに証明書(PEM)を指定します。OCIは、CAを外部管理のルートCAとして登録し、既存の公開キー・インフラストラクチャとの信頼を維持しながら、キーの管理下のみに保ちます。

ルートCAをインポートするには、次のステップを実行します。

  1. OCIコンソールで、メイン・メニュー(☰ハンバーガー・メニュー)を開き、「アイデンティティとセキュリティ」に移動して「証明書」を選択します。
  2. 「認証局」で、「認証局のインポート」を選択します。
  3. 「名前」および「説明」を入力します。
  4. ルートCAの「コンパートメント」を選択します。
  5. ルートCA証明書PEMファイルをOCIにアップロードまたはペーストします。外部キーの説明を追加します。
  6. 「インポート」を選択します。
ノート

証明書のインポートの詳細は、独自の認証局のインポートを参照してください

OCI管理の部下CAの作成

ルートCAをインポートした後、OCIで証明書署名リクエスト(CSR)を生成します。新しい下位CA (subCA)を作成するには、「認証局の作成」ダイアログで「下位認証局: 外部CAが発行され、内部的に管理」を選択します。次に、既存のルートCAキーを使用してこのCSRに外部で署名し、署名済証明書をOCIにアップロードして戻します。その時点で、OCI証明書サービスは、OCI Key Management Service (KMS)に安全に格納されたキーを使用して、下位CAをアクティブ化し、ユーザーにかわって管理します。下位CAには、ハードウェア・セキュリティ・モジュール(HSM)でバックアップされたキーが必要です。

下位CAを作成するステップ

下位CAを作成するには、次の初期ステップに従います。

  1. 外部ルートCAをOCIにインポートします。前の項を参照してください。
  2. 「認証局」リスト・ページにナビゲートし、「認証局の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、認証局のリストを参照してください。
  3. 「基本情報」で、「名前」と「説明」を入力します。
  4. ルートCAのコンパートメントを選択します。
  5. 「内部で管理される、発行された下位認証局の外部CA」を選択します。

「CA」ダイアログの残りのセクションを入力します。

(1) サブジェクト情報

サブジェクト情報:組織の証明書階層内に作成された下位CAを識別する共通名を入力します。

必要に応じて、追加のサブジェクト識別名オプションを入力します。

(2) 権威の構成

権威の構成:
  • 選択:
    • コンパートメント:ルートCAのターゲット・コンパートメント。
    • 発行者認証局:この下位CAの親認証局として機能する、インポートされた外部ルートCA。
  • 選択:
    • コンパートメント:ボールトのターゲット・コンパートメント。
    • Vault:キーを格納するボールト。
  • 選択:
    • コンパートメント:キーのターゲット・コンパートメント。
    • キー: CAのキー。

(3)ルール

ルールを構成するには、次のステップに従います。

  1. 失効ルール:有効。デフォルト値。
    • 証明書の最大有効期間:推奨値は90日です。
    • 下位CAの最大有効期間:推奨値は1095日(3年)です。

    組織の要件に合わせて有効期間を変更します。

  2. 発行ルール:有効。デフォルト値。
    • パス長制約:長さを指定します。
    • 名前制約:このCAが発行できる証明書のサブジェクト名/SANを定義する名前制約を定義します。
    発行ルールを構成するには、許可されるパス長と、このCAが発行できる証明書のサブジェクト名/SANを定義する名前制約を指定します。

(4)失効設定

証明書失効リスト(CRL)を公開する場所を構成できます。CRLは、信頼できなくなり、有効期間が終了する前に無効と見なされるCAまたは証明書のバージョンを指定します。失効設定は、いつでも更新できます。

  • 失効の有効化:有効。デフォルト値。
  • コンパートメント:オブジェクト・ストレージ・バケットのコンパートメント。
  • オブジェクト・ストレージ・バケット:ターゲット・バケットを選択します。
  • オブジェクト名の形式:オブジェクト・ファイルの形式を指定します。
  • カスタム・フォーマットURL: CRL配布ポイント(CDP)としてカスタム・フォーマットURLを指定します。

レビュー

構成オプションを確認します。「認証局の作成」を選択します。

これにより、OCIに下位CAエンティティが作成されます。

下位CAをアクティブ化するステップ

下位CAをアクティブ化するには、次のステップに従います

  1. 「認証局」リスト・ページにナビゲートします。リスト・ページの検索に関するヘルプが必要な場合は、認証局のリストを参照してください。
  2. 最近作成した下位CAを選択します。
  3. 「バージョン」タブに移動します。Pending_Activationステージの下。バージョンの「アクション」メニュー(3つのドット)を選択し、「CSRのダウンロード」を選択します。
  4. ダウンロードしたCSRを取得し、外部CAでCSRに署名します。
  5. 同じ「バージョン」タブに戻り、「アクティブ化」で選択します。署名付き証明書をアップロードし、「アクティブ化」を選択します。

CAを作成およびアクティブ化した後の結果:

  • 完全に操作可能な下位CA
  • OCI KMS内で生成またはインポートされる秘密キーの柔軟なオプション
  • 完全なOCIライフサイクル管理および証明書の発行は、SubCAから直接行います。

また、下位CAの独自の非対称キー・ペアをOCI KMSに直接インポートして、キーの作成と制御の柔軟性を高めることもできます。

サマリー

BYOCAを使用すると、次のことができます。

  • 秘密キーを公開せずに、既存のルートCA階層をOCIに拡張します。
  • 外部ルートによって署名されたCSRを使用して、OCI管理の下位CAを作成します。
  • セキュアなKMSバックアップ・キーを使用して、OCI管理の下位CAから直接証明書を発行します。
  • これにより、現在のPKI投資とOCIの自動化とスケーラビリティのメリットとのギャップが埋まります。

次のようなメリットがあります。

  • 柔軟性の向上:再設計することなく、OCIで既存のCAインフラストラクチャ、ポリシー、ガバナンス・モデルを活用できます。
  • 相互運用性の向上:ハイブリッド環境を簡単に接続できます。BYOCAにより、オンプレミス、マルチクラウド、OCI全体で分散ワークロードを簡単に実行できます。
  • コンプライアンスの強化:連携BYOCAは、職務モデル、規制要件、監査義務の厳格な分離をサポートし、OCIは、従属CAの業務ライフサイクルを、セキュアでコンプライアンスに準拠したプラットフォームで管理します。
  • より強力なセキュリティ・オプション:キーの稼働場所とキーの管理方法を決定します。OCIは下位CAの業務負担を管理しながら、ルート・キーを完全に制御できます。