Documentação do Oracle Cloud Infrastructure

Trazendo sua própria Autoridade de Certificação

A BYOCA (Bring Your Own Certificate Authority) para Certificados OCI oferece às empresas a flexibilidade de integrar sua infraestrutura existente de Autoridade de Certificação (CA) diretamente na OCI, mantendo o controle total de suas chaves privadas.

As empresas de hoje executam ambientes PKI maduros e profundamente enraizados que suportam milhares de aplicações, mandatos regulatórios e cadeias de confiança de longa data. Reconstruir essa hierarquia na nuvem é caro, arriscado e raramente viável. Os clientes precisam de uma maneira segura e previsível de conectar suas CAs raiz existentes à OCI, manter a continuidade da confiança e adotar a automação da nuvem sem interromper as operações.

BYOCA é construído precisamente para isso.

Trazendo sua própria Autoridade de Certificação Raiz

Você pode importar uma Autoridade de Certificação (CA) raiz externa para o OCI Certificates fornecendo o certificado (PEM), sem nunca fazer upload de suas chaves privadas. O OCI registra a CA como uma CA raiz gerenciada externamente, mantendo a confiança em uma Infraestrutura de Chave Pública existente, garantindo que as chaves permaneçam exclusivamente sob seu controle.

Para importar sua CA raiz, siga estas etapas:

  1. Na Console do OCI, abra o menu principal (menu ☰ hambúrguer) e vá para Identidade e Segurança e selecione Certificados.
  2. Em Autoridades de Certificação, selecione Importar Autoridade de Certificação.
  3. Informe o Nome e a Descrição.
  4. Selecione o Compartimento da sua CA raiz.
  5. Faça Upload ou Cole o arquivo PEM do certificado da CA raiz no OCI. Adicione uma descrição de chave externa.
  6. Selecione Importar.
Observação

Para obter mais detalhes sobre a importação do seu certificado, consulte: Importando sua própria Autoridade de Certificação

Criando uma CA Subordinada Gerenciada pelo OCI

Após importar sua CA raiz, gere uma Solicitação de Assinatura de Certificado (CSR) no OCI. Para criar uma nova CA subordinada (subCA), selecione Subordinar Autoridade de Certificação: CA Externa emitida, Gerenciada Internamente na caixa de diálogo Criar Autoridade de Certificação. Em seguida, assine esse CSR externamente usando suas chaves de CA raiz existentes e faça upload do certificado assinado de volta para o OCI. Nesse ponto, o serviço OCI Certificates ativa a CA subordinada e a gerencia em seu nome, usando chaves armazenadas com segurança no OCI Key Management Service (KMS). A CA subordinada precisa de uma chave suportada do Módulo de Segurança de Hardware (HSM).

Etapas para Criar uma CA Subordinada

Para criar uma CA subordinada, siga estas etapas iniciais:

  1. Importar CA Raiz Externa para o OCI. Consulte a seção anterior.
  2. Navegue até a página de lista Autoridades de Certificação e selecione Criar Autoridade de Certificação. Se precisar de ajuda para localizar a página da lista, consulte Listando Autoridades de Certificação.
  3. Em Informações Básicas, informe o Nome e a Descrição.
  4. Selecione o Compartimento da CA raiz.
  5. Selecione Subordinar Autoridade de Certificação - CA externa emitida, gerenciada internamente.

Preencha as seções restantes na caixa de diálogo CA.

(1) Informações da Matéria

Informações do Assunto: Informe o Nome Comum que identifica a CA subordinada criada na hierarquia de certificados da organização.

Preencha qualquer Opções de nome distinto de assunto adicional conforme necessário.

(2) Configuração de Autoridade

Configuração de Autoridade:
  • Selecione:
    • Compartimento: Compartimento de destino da CA raiz.
    • Autoridade de certificação do emissor: A CA raiz externa importada que serve como autoridade pai para esta CA subordinada.
  • Selecione:
    • Compartimento: Compartimento de destino do vault.
    • Vault: O vault que armazena a chave.
  • Selecione:
    • Compartimento: Compartimento de destino da chave.
    • Chave: A chave da CA.

(3) Regras

Siga estas etapas para configurar as regras:

  1. Regra de Expiração: Ativada. O valor default.
    • Duração máxima de validade para Certificado: O valor recomendado é 90 dias.
    • Duração máxima de validade para CA Subordinada: O valor recomendado é 1095 dias (3 anos).

    Modifique os períodos de validade de acordo com os requisitos da organização.

  2. Regra de Emissão: Ativada. O valor default.
    • Restrição de tamanho do caminho: Especifique o tamanho.
    • Restrição de nome: Defina quaisquer restrições de nome que definam quais nomes de assunto de certificados/SAN esta CA tem permissão para emitir.
    Para configurar regras de emissão, especifique o tamanho do caminho permitido e quaisquer restrições de nome que definam quais nomes de assunto de certificados/SAN esta CA tem permissão para emitir.

(4) Configuração da revogação

Você pode configurar um local para publicar uma lista de revogação de certificados (CRL). Uma CRL especifica as versões de uma CA ou certificado consideradas não confiáveis e inválidas antes do final de seu período de validade. As configurações de revogação podem ser atualizadas a qualquer momento.

  • Ativar revogação: Ativado. O valor default.
  • Compartimento: Compartimento do bucket de armazenamento de objetos.
  • Bucket de armazenamento de objetos: Selecione o bucket de destino.
  • Formato do nome do objeto: Especifique um formato para arquivos de objeto.
  • URL formatado personalizado: Especifique um URL formatado personalizado como o ponto de distribuição CRL (CDP).

Revisar

Revise suas opções de configuração. Selecione Criar Autoridade de Certificação.

Isso cria uma entidade de CA Subordinada no OCI.

Etapas para Ativar uma CA Subordinada

Para ativar a CA Subordinada, siga estas etapas

  1. Navegue até a página de lista Autoridades de Certificação. Se precisar de ajuda para localizar a página da lista, consulte Listando Autoridades de Certificação.
  2. Selecione a CA subordinada criada recentemente.
  3. Vá para a guia Versões. No estágio Pending_Activation. Selecione o menu Ações (três pontos) para a versão e selecione Fazer Download do CSR.
  4. Pegue o CSR baixado e assine o CSR com sua CA externa.
  5. Volte para a mesma guia Versões e selecione em Ativar. Faça upload do certificado assinado e selecione Ativar.

O resultado após criar e ativar sua CA:

  • Uma CA subordinada totalmente operacional
  • Uma opção flexível de Chaves privadas geradas ou importadas no OCI KMS
  • Gerenciamento completo do ciclo de vida da OCI e emissão de certificados diretamente do SubCA.

Você também pode importar seus próprios pares de chaves assimétricas para CAs subordinadas diretamente no OCI KMS, dando a eles maior flexibilidade na forma como as chaves são criadas e controladas.

Resumo

Com o BYOCA, você pode:

  • Estenda uma hierarquia de CA raiz existente no OCI sem expor chaves privadas.
  • Crie CAs subordinadas gerenciadas pelo OCI usando CSRs assinadas pela raiz externa.
  • Emita certificados diretamente de CAs subordinadas gerenciadas pela OCI usando chaves seguras apoiadas por KMS.
  • Isso preenche a lacuna entre seus investimentos atuais em PKI e os benefícios de automação e escalabilidade da OCI.

Os benefícios incluem:

  • Mais flexibilidade: aproveite a infraestrutura, as políticas e os modelos de governança da CA existentes na OCI sem reprojetar.
  • Melhor interoperabilidade: conecte ambientes híbridos facilmente. A BYOCA facilita a execução de cargas de trabalho distribuídas no local, em várias nuvens e na OCI.
  • Conformidade mais forte: A BYOCA de alinhamento oferece suporte a modelos rigorosos de separação de tarefas, requisitos regulatórios e obrigações de auditoria, enquanto a OCI gerencia o ciclo de vida operacional de CAs subordinadas em uma plataforma segura e compatível.
  • Opções de Segurança Mais Fortes: Decida onde as chaves estão ativas e como elas são gerenciadas. Mantenha o controle total das chaves raiz, enquanto a OCI gerencia a carga operacional de CAs subordinadas.