Oracle Cloud Infrastructureドキュメント

外部で管理する証明書の作成

証明書サービス認証局(CA)を使用して鍵を管理するのではなく、証明書の秘密鍵を自分で管理する場合は、外部で管理する証明書を作成します。

証明書サービスを使用して証明書を発行したり、サードパーティ認証局(CA)によって発行される証明書をインポートしたりするなど、複数の方法で証明書を作成できます。証明書をインポートするステップは、証明書のインポートを参照してください。

証明書を管理する複数の方法も、作成プロセスに影響します。証明書を発行するときに、同じCAを使用してすべてのものを処理することで、秘密キーを内部で生成および管理できます。または、証明書をインストールする予定のサーバーで証明書署名リクエスト(CSR)と秘密キーを生成してから、そのCSLをCAに送信した証明書を発行して外部で管理することもできます。このタスクでは、外部で管理する秘密キーを持つ証明書を発行する方法について説明します。証明書サービスのCAを使用して内部で管理する証明書を発行するステップは、証明書の作成を参照してください。

  • 「証明書」リスト・ページで「証明書の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、証明書のリストを参照してください。

    「証明書の作成」パネルが開きます。

    証明書の作成は、次のページで構成されます。

    • 基本的な情報
    • サブジェクト情報
    • 証明書構成
    • ルール
    • サマリー

    次の各ワークフローを順番に実行します。「前」を選択すると、前のページに戻ることができます。

    基本的な情報

    次の情報を入力します:

    • 名前: 証明書の名前を入力します。削除を保留中の証明書を含め、テナンシ内の証明書で同じ名前を共有することはできません。
    • 説明: (オプション)証明書の説明を入力します。
    • コンパートメント: 証明書が存在するコンパートメントをリストから選択します。
    • 証明書タイプ: 「内部CAによって発行され、外部で管理」を選択します。このオプションは、サービス外で管理する予定の証明書サービス・プライベート証明書局によって発行された証明書を作成します。

    タグ付け

    リソースを作成するアクセス許可がある場合、そのリソースにフリーフォーム・タグを適用するアクセス許可もあります。定義済タグを適用するには、タグネームスペースを使用する権限を持つ必要があります。タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうかわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。

    「次へ」を選択します。

    サブジェクト情報

    サードパーティ証明書が管理する証明書の場合、サブジェクト情報を指定する必要はありません。

    「次へ」を選択します。

    証明書構成

    次の情報を入力します:

    • 発行者認証局コンパートメント: 使用する認証局を含むコンパートメントを選択します。
    • 発行者認証局: 必要な認証局を選択します。リストされている認証局は、選択した発行者認証局コンパートメントに含まれている認証局です。
    • Not valid before: 日付(mm/dd/yyyy)を入力するか、カレンダツールを使用して、証明書をそのベアラーの識別情報を検証するために使用できない期間を指定します。日付を指定しない場合、証明書の有効期間はただちに開始します。
    • 時間: 証明書が有効でないことを指定した日の時間(hh:mm)をUTCで入力します。
    • 有効終了日: 日付(mm/dd/yyyy)を入力するか、カレンダ・ツールを使用して、証明書がそのベアラーのIDの有効な証明ではなくなった日付を指定します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元CAの有効期限以前の日付である必要があります。

      2037年12月31日より前の日付は指定できません。通常、証明書は、失効が必要になることが起こらないかぎり、有効である期間全体に使用されます。デフォルト値は、証明書が作成されてから3か月後になります。

    • 時間: 証明書が有効でないことを指定した日の時間(hh:mm)をUTCで入力します。
    • 証明書署名リクエスト: 証明書署名リクエストをPEM形式でインポートする方法について、次のいずれかのオプションを選択します:
      • ファイルのアップロード: 「ファイルの削除」または「ファイルの選択」ボックスを選択し、証明書署名リクエスト・ファイルが存在する場所を参照します。アップロード用に選択します。PEMファイルをコンピュータからこのボックスにドラッグすることもできます。
      • コンテンツの貼付け: 証明書署名リクエスト・ファイルをコンピュータで開きます。内容をコピーして、テキスト・ボックスに貼り付けます。

    「次へ」を選択します。

    ルール

    証明書サービスが管理しない証明書の自動更新は構成できません。

    「次へ」を選択します。

    サマリー

    「サマリー」ページの内容を確認します。「編集」を選択して、関連ページで情報を追加または変更します。設定が完全に検証されたら、「証明書の作成」を選択します。

    作成した証明書が「証明書」リスト・ページに表示されます。

  • oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-caコマンドおよび必須パラメータを使用して、外部的に管理する予定の秘密キーを持つ証明書を作成します:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --csr-pem <certificate_signing_request_file> [OPTIONS]

    例:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name externalCert --csr-pem file://path/to/externalcert.pem

    CLIコマンドのフラグおよび変数オプションの詳細は、CLIコマンド・リファレンスを参照してください。

  • CreateCertificate操作を実行して、外部で管理する予定の証明書を作成します。