Oracle Cloud Infrastructureドキュメント

認証局の作成

証明書サービスを使用して、ルート認証局(CA)または下位認証局を作成します。

下位認証局を作成するには、すでにルート認証局が必要です。

認証局を作成するには、適切なレベルのセキュリティ・アクセス権が必要です。詳細は、必要なIAMポリシに関する項を参照してください。

認証局を作成するには、Oracle Cloud Infrastructure (OCI) Vaultサービスからハードウェアで保護された既存の非対称暗号化キーにアクセスできる必要があります。詳細は、ボールトの概要を参照してください。

証明書失効リスト(CRL)を含む認証局を作成する場合、CRLを格納するOCIオブジェクト・ストレージ・バケットを指定できます。バケットは、認証局の作成時にすでに存在している必要があります。バケットは、他の目的や、他の認証局のCRLを格納するために使用されない専用バケットである必要もあります。

  • 「認証局」リスト・ページで、「認証局の作成」を選択します。リスト・ページまたは認証局の検索に関するヘルプが必要な場合は、認証局のリストを参照してください。

    「認証局の作成」パネルが開きます。

    認証局の作成は、次のページで構成されます。

    • 基本的な情報
    • サブジェクト情報
    • 権威の構成
    • ルール
    • 失効構成
    • サマリー

    次の各ワークフローを順番に実行します。「前」を選択すると、前のページに戻ることができます。

    基本的な情報

    次の情報を入力します:

    • 名前: 証明書の名前を入力します。テナンシの認証局は、削除を保留中の認証局を含め、同じ名前を共有できません。
    • 説明: (オプション)認証局の説明を入力します。
    • コンパートメント: 認証局が存在するコンパートメントをリストから選択します。
    • 認証局タイプ: 次のいずれかのオプションを選択します。
      • ルート認証局: デジタル証明書を発行し、その失効を管理する認証局(認証局)を作成します。認証局には通常、他の認証局が含まれ、その間に親子関係が定義されています。階層の最上位の認証局は、ルート認証局と呼ばれます。
      • 下位認証局: デジタル証明書発行する他のそのようなエンティティの階層内の中間エンティティである下位認証局を作成します。
      • 下位認証局: 外部CAが発行され、内部的に管理: 外部ルート認証局によって発行され、OCIハードウェア・セキュリティ・モジュール(HSM)で内部的に管理される下位認証局(キーが格納されている)を作成します。ここで証明書署名リクエストを作成し、外部の認証局を通じて発行を完了します。

    タグ付け

    リソースを作成するアクセス許可がある場合、そのリソースにフリーフォーム・タグを適用するアクセス許可もあります。定義済タグを適用するには、タグネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。

    「次へ」を選択します。

    サブジェクト情報

    「サブジェクト情報」ページには、少なくとも認証局証明書の所有者を識別するための共通名が含まれています。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。サブジェクト情報の形式は、RFC 5280標準に準拠している必要があります。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。

    次の情報を入力します:

    • 共通名: 共通名を入力します。

    追加フィールド

    被験者の氏名、住所、組織情報など、要求された情報を入力します。サブジェクト識別名の各値の詳細は、RFC 5280を参照してください。

    「次へ」を選択します。

    権威の構成

    次の情報を入力します:

    • 発行者認証局コンパートメント: (下位認証局のみ)作成する下位認証局を発行する親認証局を含むコンパートメントを選択します。
    • 発行者認証局: (下位認証局のみ)必要な下位認証局を選択します。リストされている下位認証局は、選択した発行者認証局コンパートメントに含まれている認証局です。「下位認証局: 外部CAが発行され、内部的に管理」CAタイプを選択した場合は、必ず外部ルートを親のRootCAとして選択してください。
    • Not valid before: 日付(mm/dd/yyyy)を入力するか、カレンダツールを使用して、認証局がベアラーの識別情報を検証するために使用できない期間を指定します。日付を指定しない場合、認証局の有効期間はただちに開始します。
    • 時間: 認証局が有効でないことを指定した日の時間(hh:mm)をUTCで入力します。
    • 有効期限が過ぎる: 日付(mm/dd/yyyy)を入力するか、カレンダ・ツールを使用して、認証局がその担保者の身元証明を有効ではなくなるように指定します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元認証局の有効期限を超えないようにしてください。

      2037年12月31日より前の日付は指定できません。通常、認証局は、失効が必要になることが起こらないかぎり、有効である期間全体にわたり使用されます。デフォルト値は、認証局が作成されてから3か月後になります。

    • 時間: 認証局が有効でないことを指定した日の時間(hh:mm)をUTCで入力します。
    • コンパートメント内のVault: 認証局証明書に使用する暗号化キーを含むボールトを含むコンパートメントを選択します。
    • Vault: 認証局証明書に使用する暗号化キーを含むボールトを選択します。リストされたボールトは、選択したボールト・コンパートメントに含まれているボールトです。
    • コンパートメント内のキー: 認証局証明書に使用するボールトの暗号化キーを含むコンパートメントを選択します。
    • キー・イン: 使用するキーを選択します。証明書では非対称キーのみがサポートされるため、リストにはボールト内の非対称キーのみが含まれます。2,048ビットまたは4,096ビットのRivest-Shamir-Adleman (RSA)キーから選択できます。

      または、楕円曲線IDがNIST_P384の楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーを選択することもできます。このリストには、ハードウェア・セキュリティ・モジュール(HSM)によって保護されているこれらのタイプの非対称キーのみが含まれます。証明書では、ソフトウェア保護されたキーの使用はサポートされません。キーの作成および管理の詳細は、キーの管理に関する項を参照してください。

    • 署名アルゴリズム: キー・アルゴリズム・ファミリに応じて、次のいずれかのオプションを選択します。
      • SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRSAキー
      • SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
      • SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
      • SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用したECDSAキー
      • SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
      • SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー

    「次へ」を選択します。

    ルール

    「ルール」ページでは、この認証局およびその認証局から発行するリソースに制約を適用するルールを構成します。

    失効ルール

    この証明書によって発行された証明書または下位認証局が有効な最大時間を指定できます。変更は、変更後に発行した新しい証明書および新しい下位認証局にのみ適用されます。

    次の設定を構成するには、「失効ルール」を有効にします。

    • 証明書の最大有効期間(日数): この認証局によって発行された証明書の最大有効時間を指定します。
    • 下位CAの最大有効期間(日数): このCAによって発行されたCAが有効で、他のCAまたは証明書を発行できる最大日数を指定します。推奨値は1095日(3年)です。

    発行規則

    発行ルールを指定して、この認証局が発行するリソースに関する特定の条件を適用できます。パス長制約は、認証局が持つことができる下位認証局の数を制限します。証明書サブジェクト名に対する名前制約は、この証明書チェーン内の認証局が発行する証明書の階層名フォームに許可されるネームスペースを指定します。発行ルールは後で更新できません。

    次の設定を構成するには、「発行ルール」を有効にします:

    • パス長制約: 下位CAの最大長(0から10)を選択します。
    • 除外されるサブツリー: 特定のネームスペースをブロックするタイプと値を指定します。別のエントリを作成するには、「除外サブツリーの追加」を選択します。
    • 許可されるサブツリー: 特定のネームスペースを許可するタイプと値を指定します。別のエントリを作成するには、「許可されるサブツリーの追加」を選択します。

    「次へ」を選択します。

    失効構成

    「失効構成」ページでは、証明書失効リスト(CRL)を公開する場所を構成できます。CRLでは、有効期間が終了する前に、信頼できなくなり無効とみなされる認証局または証明書のバージョンを指定します。CRLをオブジェクト・ストレージ・バケットに格納するか、カスタム・フォーマット済URLをCRL配布ポイントとして指定できます。失効設定は、いつでも更新できます。

    次の設定を構成するには、「Revocation」を有効にします。

    • オブジェクト・ストレージ・バケット・コンパートメント: CRLを格納できるオブジェクト・ストレージ・バケットを含むコンパートメントを選択します。
    • オブジェクト・ストレージ・バケット: 必要なオブジェクト・ストレージ・バケットを選択してください。表示されるバケットは、選択したコンパートメントに含まれているバケットです。
    • オブジェクト名形式: オブジェクト名を指定します。オブジェクト名に中カッコを含めて、サービスが発行元認証局のバージョン番号を挿入できる場所を示すできます。この追加は、別の認証局バージョンを作成するたびに、既存のCRLが上書きされるのを防ぐのに役立ちます。オブジェクト名の詳細は、オブジェクト名を参照してください。

    カスタム形式のURL

    オブジェクトへのアクセスにAPIで使用するURLを入力します。このURLには、証明書でCRL配布ポイント(CDP)として名前が付けられます。URLに中カッコを含めて、サービスが発行元認証局のバージョン番号を挿入できる場所を示すできます。この追加により、別の認証局バージョンを作成するたびに既存のCDPが上書きされるのを防ぐことができます。HTTPS URLを指定できるのは、HTTPSチェーンの検証で循環依存がない場合のみです。

    別のCDPを指定するには、「+別のURL」を選択し、ユーザーがCRLにアクセスできる別のURLを指定します。

    「次へ」を選択します。

    サマリー

    「サマリー」ページの内容を確認します。「編集」を選択して、関連ページで情報を追加または変更します。設定が完全に検証されたら、「認証局の作成」を選択します。

    作成した認証局が「認証局」リスト・ページに表示されます。

  • 使用するコマンドは、ルート認証局と下位認証局のどちらを作成するかによって異なります。

    ルート認証局を作成するには、oci certs-mgmt certificate-authority create-root-ca-by-generating-config-detailsコマンドと必要なパラメータを使用します:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    例:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>

    下位認証局を作成するには、oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-caコマンドおよび必要なパラメータを使用します:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    例:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateCertificateAuthority操作を実行して、認証局を作成します。