Oracle Cloud Infrastructureドキュメント

下位認証局の発行

下位認証局(CA)を作成します。

下位認証局を作成するには、Oracle Cloud Infrastructure Certificatesにルート認証局がすでにある必要があります。テナンシ内の認証局の合計許容数を超えないかぎり、他の認証局から下位の認証局を発行できます。

認証局を作成するには、Oracle Cloud Infrastructure Vaultサービスからハードウェアで保護された既存の非対称暗号化キーにアクセスできる必要があります。詳細は、ボールトの概要を参照してください。

証明書失効リスト(CRL)を含む認証局を作成する場合、CRLを格納するOCIオブジェクト・ストレージ・バケットを指定できます。バケットは、認証局の作成時にすでに存在している必要があります。

    1. 「認証局」リスト・ページで、操作する証明書を検索します。リスト・ページまたは証明書の検索に関するヘルプが必要な場合は、証明書のリストを参照してください。
    2. 認証局の「アクション」メニューから、「下位認証局の発行」を選択します。
      ノート

      選択したCAが外部rootCAの場合、内部的に管理され、外部的に発行された下位カテゴリのみを発行できます。
      「認証局の作成」パネルが開きます。
    3. Creating an Certificate Authorityの説明に従って、認証局を作成します。

  • 証明書タイプに基づいて下位の認証局を発行します。

    内部作成されたCAに対する下位CAの発行

    oci certs-mgmt certificate-authority create-subordinate-CA-issued-by-internal-CAコマンドおよび必須パラメータを使用して、下位CAを発行します:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    例:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

    外部で作成されたCAに対する下位CAの発行

    下位CAを発行するには、create-subordinate-ca-managed-internally-issued-by-external-caコマンドおよび必須パラメータを使用します。

    oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca --issuer-certificate-authority-id <your_certificate_authority_id>  --subject '{ <your_json_data> }' --compartment-id <your-compartment-id> --name <your_certificate_authority_name> --kms-key-id <your_kms_id>

    次に例を示します。

    oci certs-mgmt certificate-authority create-subordinate-ca-managed-internally-issued-by-external-ca \
                            --issuer-certificate-authority-id ocid1.certificateauthority.oc1.us-sanjose-1.amaaaaaaxkd4eg... \
                            --subject '{
                            "commonName": "Example-CN-SubCA-From-ExternalRootCA"
                            }' \
                            --compartment-id ocid1.compartment.oc1..aaaaaaaa7zl... \
                            --name Example_Subbordinate_CA \
                            --kms-key-id ocid1.key.oc1.us-sanjose-1.grtxobgpaaf7...

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateCertificateAuthority操作を実行して、下位の認証局を発行します。