Documentação do Oracle Cloud Infrastructure

Criando uma Autoridade de Certificação

Use o serviço Certificates para criar uma autoridade de certificação (CA) raiz ou uma CA subordinada.

Você já deve ter uma CA raiz para criar uma CA subordinada.

Você deve ter o nível apropriado de acesso de segurança para criar uma CA. Para obter mais informações, consulte Política do Serviço IAM Obrigatória.

A criação de uma CA requer que você tenha acesso a uma chave de criptografia assimétrica e protegida por hardware existente do serviço Oracle Cloud Infrastructure (OCI) Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.

Ao criar uma CA com uma lista de revogação de certificados (CRL), você pode especificar um bucket do OCI Object Storage no qual deseja armazenar a CRL. O bucket já deve existir no momento da criação da CA. O bucket também deve ser um bucket dedicado que você não usa para nenhuma outra finalidade ou para armazenar a CRL de qualquer outra CA.

    1. Na página da lista Autoridades de Certificação, selecione Criar Autoridade de Certificação. Se precisar de ajuda para encontrar a página da lista, consulte Listando Autoridades de Certificação.
    2. Selecione Compartimento e, em seguida, selecione o compartimento no qual deseja criar a CA.
    3. Em Tipo de Autoridade de Certificação, selecione o tipo de CA entre as seguintes opções:
      • Autoridade de Certificação Raiz: a CA na parte superior da hierarquia em uma cadeia de CAs.
      • Autoridade de Certificação Subordinada: qualquer CA que não seja a CA raiz em uma hierarquia que contenha outras CAs.
    4. Informe um nome para exibição exclusivo da CA. Esse nome ajuda a identificar a CA para fins administrativos, mas não aparece como parte do certificado da CA. Evite digitar informações confidenciais.
      Observação

      Duas CAs na tenancy não podem compartilhar o mesmo nome, incluindo CAs com exclusão pendente.
    5. (Opcional) Informe uma descrição para ajudar a identificar a CA. (Esta descrição ajuda a identificar a CA, mas não aparece como parte do certificado da CA.) Evite digitar informações confidenciais.
    6. (Opcional) Para aplicar tags, selecione Mostrar Opções de Tag. Para obter mais informações sobre tags, consulte Tags de Recurso.
    7. Selecione Próximo.
    8. Forneça informações do titular. As informações do titular incluem pelo menos um nome comum para identificar o proprietário do certificado da CA. Dependendo do uso pretendido do certificado, o titular pode identificar uma pessoa, uma organização ou um ponto final de computador. O formato das informações do titular deve estar em conformidade com os padrões do RFC 5280. Caracteres curinga podem ser usados para emitir um certificado de vários nomes de domínio ou subdomínio.
    9. (Opcional) Para fornecer mais informações sobre o assunto da autoridade de certificação, selecione Mostrar campos adicionais. Para obter detalhes sobre cada um dos valores em um nome distinto de assunto, consulte RFC 5280.
    10. Quando estiver pronto, selecione Próximo.
    11. (Opcional) Selecione Não Válido Antes de e especifique o horário e a data UTC em que deseja começar a usar a CA. Se você não especificar uma data, o período de validade da CA começará imediatamente.
    12. Selecione Não Válida Após e especifique a data após a qual a CA não poderá mais ser usada para emitir ou validar CAs ou certificados subordinados. (É necessário especificar uma data pelo menos um dia depois da data inicial do período de validade. Não é possível especificar uma data posterior a 31 de dezembro de 2037. Os valores são arredondados para mais para o segundo mais próximo.)
    13. Se você estiver criando uma autoridade de certificação subordinada, em Autoridade de Certificação do Emissor, especifique uma autoridade de certificação mãe para emitir essa autoridade de certificação. Se você estiver criando uma CA raiz, vá para a próxima etapa.
    14. Em Vault, selecione o vault que contém a chave de criptografia que você deseja usar para o certificado da CA. Opcionalmente, selecione Alterar Compartimento para especificar outro compartimento. Para obter informações sobre como criar e gerenciar vaults, consulte Gerenciando Vaults.
    15. Em Chave, selecione a chave no vault que você deseja usar. A lista inclui apenas as chaves assimétricas no vault porque o serviço Certificates é compatível apenas com chaves assimétricas. Você pode selecionar entre as chaves Rivest-Shamir-Adleman (RSA) que são de 2.048 bits ou 4.096 bits. Você também pode selecionar chaves ECCDSA (algoritmo de assinatura digital) de criptografia de curva elíptica que tenham um ID de curva elíptica de NIST_P384. Especificamente, a lista inclui apenas esses tipos de chaves assimétricas que são protegidas por um módulo de segurança de hardware (HSM). Os certificados não suportam o uso de chaves protegidas por software. Para obter informações sobre como criar e gerenciar chaves, consulte Gerenciando Chaves.
    16. Em Algoritmo de Assinatura, selecione uma das seguintes opções, dependendo da família de algoritmos de chave:
      • SHA256_WITH_RSA: chave RSA com uma função hash SHA-256
      • SHA384_WITH_RSA: chave RSA com uma função hash SHA-384
      • SHA512_WITH_RSA: chave RSA com uma função hash SHA-512
      • SHA256_WITH_ECDSA: Chave ECDSA com uma função hash SHA-256
      • SHA384_WITH_ECDSA: Chave ECDSA com uma função hash SHA-384
      • SHA512_WITH_ECDSA: Chave ECDSA com uma função hash SHA-512

        Quando estiver pronto, selecione Próximo.

    17. Configure a regra de expiração. Em Duração Máxima da Validade dos Certificados (Dias), especifique o número máximo de dias que um certificado emitido por essa CA pode ser válido. Recomenda-se usar um período de validade de no máximo 90 dias.
    18. Em Tempo Máximo de Validade para CA Subordinada (Dias), especifique o número máximo de dias que uma CA emitida por essa CA pode ser válida para emitir outras CAs ou certificados. Quando estiver pronto, selecione Próximo.
    19. Na página Configuração de Revogação, se você não quiser configurar uma lista de revogação de certificados (CRL), marque a caixa de seleção Anular Revogação. Para configurar a revogação de certificados, desmarque a caixa de seleção e especifique um Bucket de Armazenamento de Objetos dedicado no qual você planeja armazenar a CRL.
    20. (Opcional) Selecione Alterar Compartimento para localizar um bucket em outro compartimento.
    21. Em Formato do Nome do Objeto, especifique o nome do objeto. Você pode incluir chaves no nome do objeto para indicar onde o serviço pode inserir o número da versão da autoridade de certificação emissora. Esta adição ajuda a impedir a substituição de uma CRL existente sempre que você criar outra versão da CA. Para obter mais informações sobre nomes de objetos, consulte Nomes de Objetos.
    22. (Opcional) Em URLs Personalizados Formatados, forneça o URL que você deseja usar com APIs para acessar o objeto. Esse URL é nomeado em certificados como o ponto de distribuição da CRL (CDP). É possível incluir chaves no URL para indicar onde o serviço pode inserir o número da versão da CA emissora. Essa adição ajuda a evitar a substituição de uma CDP existente sempre que você cria outra versão da CA. Você só poderá especificar um URL HTTPS se não houver dependências circulares na verificação da cadeia HTTPS.
    23. (Opcional) Para fornecer outra CDP, selecione + Outro URL e, em seguida, forneça outro URL no qual os usuários possam acessar a CRL.
    24. Quando estiver pronto, selecione Próximo.
    25. Verifique se as informações estão corretas e selecione Criar Autoridade de Certificação.
      Pode levar algum tempo para criar recursos relacionados a certificado.

  • O comando usado depende se você deseja criar uma CA raiz ou uma CA subordinada.

    Use o comando oci certificates-mgmt certificate-authority create-root-ca-by-generating-config-details e os parâmetros necessários para criar uma CA raiz:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Por exemplo:

    oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para criar uma CA subordinada, use o comando oci certificates-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e os parâmetros necessários:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

    Por exemplo:

    oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação CreateCertificateAuthority para criar uma CA.