Documentação do Oracle Cloud Infrastructure

Criando uma Autoridade de Certificação

Use o serviço Certificates para criar uma autoridade de certificação raiz (CA) ou uma autoridade de certificação subordinada.

Você já deve ter uma autoridade de certificação raiz para criar uma autoridade de certificação subordinada.

Você deve ter o nível apropriado de acesso de segurança para criar uma autoridade de certificação. Para obter mais informações, consulte Política de IAM Obrigatória.

A criação de uma autoridade de certificação requer o acesso a uma chave de criptografia assimétrica protegida por hardware existente do serviço Oracle Cloud Infrastructure (OCI) Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.

Ao criar uma autoridade de certificação com uma Lista de Revogação de Certificados (CRL), você pode especificar um bucket do OCI Object Storage no qual deseja armazenar a CRL. O bucket já deve existir no momento em que você criar a autoridade de certificação. O bucket também deve ser um bucket dedicado que não é usado para nenhuma outra finalidade ou para armazenar a CRL de qualquer outra autoridade de certificação.

  • Na página de lista Autoridades de Certificação, selecione Criar autoridade de certificação. Se precisar de ajuda para localizar a página de lista ou a autoridade de certificação, consulte Listando Autoridades de Certificação.

    O painel Criar autoridade de certificação é aberto.

    A criação de uma autoridade de certificação consiste nas seguintes páginas:

    • Informações básicas
    • Informações do Assunto
    • Configuração de Autoridade
    • Regras
    • Configuração de Revogação
    • Resumo

    Execute cada um dos seguintes workflows pela ordem. Você pode retornar a uma página anterior, selecionando Anterior.

    Informações básicas

    Digite as seguintes informações:

    • Nome: Informe o nome do certificado. Nenhuma autoridade de certificação na tenancy pode compartilhar o mesmo nome, incluindo autoridades de certificação com exclusão pendente.
    • Descrição: (Opcional) Informe uma descrição para a autoridade de certificação.
    • Compartimento: Selecione na lista o compartimento no qual a autoridade de certificação reside.
    • Tipo de autoridade de certificação: Selecione uma das seguintes opções:
      • Autoridade de certificação raiz: cria uma autoridade de certificação (autoridade de certificação) que emite certificados digitais e gerencia sua revogação. Uma autoridade de certificação normalmente contém outras autoridades de certificação com relacionamentos pai-filho definidos entre elas. A autoridade de certificação na parte superior de uma hierarquia é conhecida como autoridade de certificação raiz.
      • Autoridade de certificado subordinado: Cria uma autoridade de certificado subordinado que é uma entidade intermediária dentro da hierarquia de outras entidades que emitem certificados digitais.
      • Autoridade de Certificação Subordinada: CA Externa emitida, Gerenciada Internamente: Cria uma autoridade de certificação subordinada emitida pela autoridade de certificação raiz externa, mas gerenciada internamente (chaves armazenadas) no HSM (hardware security module) do OCI. Crie uma solicitação de assinatura de certificado aqui e conclua a emissão por meio de sua autoridade de certificação externa.

    Marcação com Tags

    Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

    Selecione Próximo.

    Informações do Assunto

    A página Informações do Assunto inclui pelo menos um nome comum para identificar o proprietário do certificado da autoridade de certificação. Dependendo do uso pretendido do certificado, o titular pode identificar uma pessoa, uma organização ou um ponto final de computador. O formato das informações do titular deve estar em conformidade com os padrões do RFC 5280. Caracteres curinga podem ser usados para emitir um certificado de vários nomes de domínio ou subdomínio.

    Digite as seguintes informações:

    • Nome comum: Informe um nome comum.

    Campos Adicionais

    Insira as informações solicitadas, como nome, endereço e informações organizacionais da matéria. Para obter detalhes sobre cada um dos valores em um nome distinto de assunto, consulte RFC 5280.

    Selecione Próximo.

    Configuração de Autoridade

    Digite as seguintes informações:

    • Compartimento da autoridade de certificação do emissor: (Somente autoridade de certificação subordinada) Selecione o compartimento que contém a autoridade de certificação pai que você deseja emitir a autoridade de certificação subordinada que está criando.
    • Autoridade de certificação do emissor: (Somente autoridade de certificação subordinada) Selecione a autoridade de certificação subordinada desejada. As autoridades de certificação subordinadas listadas são as contidas no compartimento de autoridade de certificação do emissor selecionado. Se você tiver escolhido Autoridade de Certificação Subordinada: CA Externa emitida, Tipo de CA Gerenciada Internamente, certifique-se de escolher sua raiz externa como RootCA pai.
    • Não válido antes: Informe a data (mm/dd/yyyy) ou use a ferramenta de calendário para especificar antes da qual a autoridade de certificação não pode ser usada para validar a identidade de seu portador. Se você não especificar uma data, o período da validade da autoridade de certificação começará imediatamente.
    • Horário: Informe o horário (hh:mm) em UTC para o dia em que você especificou que a autoridade de certificação não é válida antes.
    • Não válido após: Informe a data (mm/dd/yyyy) ou use a ferramenta de calendário para especificar após a qual a autoridade de certificação não será mais uma prova válida da identidade de seu portador. É necessário especificar uma data pelo menos um dia depois da data inicial do período de validade. A data não deve exceder a expiração da autoridade do certificado de emissão.

      Você não pode especificar uma data além de 31 de Dezembro de 2037. Normalmente, as autoridades de certificação são usadas para a totalidade do período que elas são válidas, a não ser que algo exija revogação. O valor padrão é três meses após a criação da autoridade de certificação.

    • Horário: Informe o horário (hh:mm) em UTC para o dia em que você especificou que a autoridade de certificação não é válida depois.
    • Vault no compartimento: Selecione o compartimento que contém o vault que contém a chave de criptografia que você deseja usar para o certificado da autoridade de certificação.
    • Vault in: Selecione o vault que contém a chave de criptografia a ser usada para o certificado da autoridade de certificação. Os vaults listados são aqueles contidos no compartimento de vault selecionado.
    • Chave no compartimento: Selecione o compartimento que contém a chave de criptografia no vault que você deseja usar para o certificado da autoridade de certificação.
    • Chave em: Selecione a chave que você deseja usar. A lista inclui apenas as chaves assimétricas no vault porque o serviço Certificates suporta apenas chaves assimétricas. Você pode selecionar entre as chaves Rivest-Shamir-Adleman (RSA) de 2.048 bits ou 4.096 bits.

      Também é possível selecionar chaves de algoritmo de assinatura digital de criptografia de curva elíptica (ECDSA) que tenham um ID de curva elíptica NIST_P384. A lista inclui apenas esses tipos de chaves assimétricas que são protegidas por um HSM (Hardware Security Module). O serviço Certificates não suporta o uso de chaves protegidas por software. Consulte Gerenciando Chaves para obter informações sobre a criação e o gerenciamento de chaves.

    • Algoritmo de assinatura: Selecione uma das seguintes opções, dependendo da família de algoritmos-chave:
      • SHA256_WITH_RSA: chave RSA com uma função hash SHA-256.
      • SHA384_WITH_RSA: chave RSA com uma função hash SHA-384.
      • SHA512_WITH_RSA: chave RSA com uma função hash SHA-512.
      • SHA256_WITH_ECDSA: Chave ECDSA com uma função hash SHA-256.
      • SHA384_WITH_ECDSA: Chave ECDSA com uma função hash SHA-384.
      • SHA512_WITH_ECDSA: Chave ECDSA com uma função hash SHA-512.

    Selecione Próximo.

    Regras

    A página Regras é onde você configura regras para aplicar restrições a essa autoridade de certificação e aos recursos que você emite dela.

    Regra de Expiração

    Você pode especificar o tempo máximo que um certificado ou uma autoridade de certificação subordinada emitida por este certificado é válida. As alterações só se aplicam a novos certificados e a nova autoridade de certificação subordinada que você emitir depois de fazer as alterações.

    Ative a regra de expiração para definir as seguintes definições:

    • Duração máxima de validade para certificados (dias): Especifique o tempo máximo de validade de qualquer certificado emitido por essa autoridade de certificação.
    • Duração Máxima de Validade para CA Subordinada (Dias): Especifique o número máximo de dias que uma CA emitida por essa CA pode ser válida para emitir outras CAs ou certificados. O valor recomendado é de 1095 dias (3 anos).

    Regra de Emissão

    Você pode especificar regras de emissão para impor determinadas condições relacionadas aos recursos emitidos por essa autoridade de certificação. Uma restrição de tamanho de caminho restringe quantas autoridades de certificação subordinadas uma autoridade de certificação pode ter. Uma restrição de nome em nomes de assunto de certificado especifica namespaces permitidos para os forms de nome hierárquicos em certificados que qualquer autoridade de certificado nesta cadeia de certificados emite. As regras de emissão não podem ser atualizadas posteriormente.

    Habilite Regra de emissão para definir as seguintes definições:

    • Restrição de tamanho do caminho: Selecione o tamanho máximo (0–10) para CAs subordinadas.
    • Subárvores excluídas: Especifique o tipo e o valor para bloquear determinados namespaces. Selecione Adicionar subárvore excluída para criar outra entrada.
    • Subárvores Permitidas: Especifique o tipo e o valor para permitir determinados namespaces. Selecione Adicionar subárvore permitida para criar outra entrada.

    Selecione Próximo.

    Configuração de Revogação

    A página Configuração de Revogação é onde você pode configurar um local para publicar uma lista de revogação de certificados (CRL). Uma CRL especifica as versões de uma autoridade certificadora ou certificado considerado não confiável e inválido antes do final de seu período de validade. Você pode armazenar uma CRL em um bucket do Object Storage ou especificar um URL formatado personalizado como ponto de distribuição da CRL. As configurações de revogação podem ser atualizadas a qualquer momento.

    Ative Revogação para definir as seguintes definições:

    • Compartimento do bucket do Object Storage: Selecione o compartimento que contém o bucket do Object Storage no qual você pode armazenar uma CRL.
    • Bucket de armazenamento de objetos: Selecione o bucket de Armazenamento de Objetos desejado. Os buckets que aparecem são aqueles contidos no compartimento selecionado.
    • Formato do nome do objeto: Especifique o nome do objeto. Você pode incluir chaves no nome do objeto para indicar onde o serviço pode inserir o número de versão da autoridade de certificação emissora. Essa adição ajuda a impedir a substituição de uma CRL existente sempre que você cria outra versão de autoridade certificadora. Para obter mais informações sobre nomes de objetos, consulte Nomes de Objetos.

    URLs Personalizados Formatados

    Informe a URL que você deseja usar com APIs para acessar o objeto. Esse URL é nomeado em certificados como o ponto de distribuição da CRL (CDP). É possível incluir chaves no URL para indicar onde o serviço pode inserir o número de versão da autoridade de certificação emissora. Essa inclusão ajuda a evitar a substituição de uma CDP existente sempre que você cria outra versão de autoridade de certificação. Você só poderá especificar um URL HTTPS se não houver dependências circulares na verificação da cadeia HTTPS.

    Para fornecer outra CDP, selecione + Outro URL e, em seguida, forneça outro URL no qual os usuários possam acessar a CRL.

    Selecione Próximo.

    Resumo

    Revise o conteúdo da página Resumo. Selecione Editar para adicionar ou alterar informações na página associada. Quando as definições forem totalmente verificadas, selecione Criar autoridade de certificação.

    A autoridade de certificação que você criou aparece na página de lista Autoridades de Certificação.

  • O comando que você usa depende se deseja criar uma autoridade de certificação raiz ou uma autoridade de certificação subordinada.

    Use o comando ociCertificate-mgmt certificate-authority create-root-ca-by-generating-config-details e os parâmetros necessários para criar uma autoridade de certificação raiz:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Por exemplo:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_ID>

    Para criar uma autoridade de certificação subordinada, use o comando oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e os parâmetros necessários:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID> [OPTIONS]

    Por exemplo:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_ID> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação CreateCertificateAuthority para criar uma autoridade de certificação.