Oracle Cloud Infrastructureドキュメント

証明書の作成

証明書の秘密キーを含め、内部で管理する証明書を作成します。

証明書を作成するには、適切なレベルのセキュリティ・アクセスが必要です。詳細は、必要なIAMポリシーを参照してください。

証明書は、証明書サービスを使用して証明書を発行したり、サードパーティの認証局(CA)によって発行された証明書をインポートしたりするなど、複数の方法で作成できます。証明書をインポートするステップは、証明書のインポートを参照してください。

証明書の管理方法は複数あり、作成プロセスにも影響します。証明書を発行するときに、同じCAを使用してすべてのものを処理することで、秘密キーを内部で生成および管理できます。また、証明書をインストールする予定のサーバーで証明書署名リクエスト(CSR)と秘密キーを生成してから、そのCSRをCAに送信して証明書を発行することもできます。この場合、秘密キーは外部で管理します。このタスクでは、内部で管理する予定の証明書を発行する方法について説明します。サードパーティCAを使用して外部で管理する証明書を発行するステップは、外部で管理する証明書の作成を参照してください。

    1. 「証明書」リスト・ページで、「証明書の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、証明書のリストを参照してください。
    2. 「コンパートメント」で、証明書を作成するコンパートメントを選択します。証明書は、CAと同じコンパートメントまたは別のコンパートメントに存在できます。
    3. 「証明書タイプ」で、証明書サービスCAから証明書を発行し、その証明書も管理するには、「内部CAによって発行された」を選択します。
    4. 証明書の一意の表示名を入力します。機密情報を入力しないでください。
      ノート

      削除保留中の証明書を含め、テナンシ内の2つの証明書で同じ名前を共有することはできません。
    5. (オプション)証明書の識別に役立つ説明を入力します。機密情報を入力しないでください。
    6. (オプション)タグを適用するには、「タグ付けオプションの表示」を選択します。タグの詳細は、リソース・タグを参照してください。
    7. 「次」を選択します。
    8. サブジェクト情報を指定します。サブジェクト情報には、証明書の所有者を識別するための共通名が含まれます。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。サブジェクト情報には、DNS名またはIPアドレスをサブジェクトの代替名として含めることができ、これによって証明書の所有者も認識されます。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。
    9. (オプション)さらにサブジェクト代替名を追加するには、「+別のサブジェクト代替名」を選択し、アドレスのタイプを選択して名前を入力します。準備ができたら、「次へ」を選択します。
    10. 証明書の用途に基づいて、次のプロファイルから証明書プロファイル・タイプを選択します:
      • TLSサーバーまたはクライアント: TLS/SSL接続用にサーバーまたはクライアントによって指定されます。
      • TLSサーバー: TLS/SSL接続用にサーバーによって指定されます。
      • TLSクライアント: TLS/SSL接続時にクライアントによって指定されます。
      • TLSコード署名: 署名の検証用にプログラムによって指定されます。
    11. 証明書を発行するCAを変更するには、「発行元認証局」を選択し、CAを選択します。必要に応じて、「コンパートメントの変更」を選択し、CAが証明書に選択したコンパートメントとは異なるコンパートメントにある場合は、別のコンパートメントを選択します。
    12. (オプション)「有効期間の開始日」を選択し、証明書を使用してその所有者のアイデンティティを検証する日付を入力します。日付を指定しない場合、証明書の有効期間はただちに開始します。値は最も近い秒に切り上げられます。
    13. 「有効期間の終了日」を選択し、証明書がその所有者のアイデンティティの有効な証明ではなくなる日付を変更します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元CAの有効期限以前の日付である必要があります。2037年12月31日より後の日付も指定できません。値は最も近い秒に切り上げられます。通常、証明書は、失効が必要になるような問題が発生しないかぎり、有効である期間全体にわたって使用されます。
    14. 「キー・アルゴリズム」で、次のオプションから証明書キー・ペアに必要なアルゴリズムとキーの長さの組合せを選択します:
      • RSA2048: Rivest-Shamir-Adleman (RSA) 2048ビット・キー
      • RSA4096: RSA 4096ビット・キー
      • ECDSA_P256: P256曲線IDを持つ楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • ECDSA_P384: P384曲線IDを持つECDSAキー
    15. (オプション)「追加フィールドの表示」を選択し、「署名アルゴリズム」で、キーに応じて次のいずれかの署名アルゴリズムを選択します:
      • SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRivest-Shamir-Adleman (RSA)キー
      • SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
      • SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
      • SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用した楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
      • SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー

        準備ができたら、「次へ」を選択します。

    16. 証明書の使用が中断しないように証明書の自動更新を構成するには、次の設定にゼロ以外の値を指定します:
      • 更新間隔(日数): 証明書を更新する頻度
      • Advance Renewal Period (Days): 更新が行われる証明書の期限切れまでの日数
      柔軟性を最大限に高めるには、有効期間の終了前に証明書を更新し、障害が発生した場合に十分な事前更新時間で証明書を更新します。サービスが正常に更新される前に期限切れになる証明書は、サービスの中断を引き起こす可能性があります。
      準備ができたら、「次へ」を選択します。
    17. 情報が正しいことを確認し、「証明書の作成」を選択します。
      証明書関連リソースの作成には時間がかかる場合があります。

  • oci certs-mgmt certificate create-certificate-issued-by-internal-caコマンドおよび必要なパラメータを使用して、証明書サービスによって発行された証明書を作成します:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    例:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  • CreateCertificate操作を実行して、内部で管理する予定の証明書を作成します。