Documentação do Oracle Cloud Infrastructure

Criar um Certificado

Crie um certificado para gerenciar internamente, incluindo a chave privada do certificado.

É necessário ter o nível apropriado de acesso de segurança para criar um certificado. Para obter mais informações, consulte Política do Serviço IAM Obrigatória.

Você pode criar um certificado de várias maneiras, inclusive usando o serviço Certificates para emitir um certificado e importar um certificado emitido por uma autoridade de certificação (CA) de terceiros. Para saber as etapas para importar um certificado, consulte Importando um Certificado.

Ao emitir um certificado, você pode gerar e gerenciar a chave privada internamente usando a mesma CA para lidar com tudo. Você também pode gerar uma Solicitação de Assinatura de Certificado (CSR) e chave privada no servidor em que planeja instalar o certificado e, em seguida, submeter essa CSR a uma CA para emitir um certificado, enquanto gerencia a chave privada externamente.

Este tópico descreve como emitir um certificado que você planeja gerenciar internamente. Para obter as etapas para emitir um certificado que você gerencia externamente com uma CA de terceiros, consulte Criando um Certificado para Gerenciar Externamente.

  • Na página da lista Certificados, selecione Criar certificado. Se precisar de ajuda para localizar a página da lista, consulte Listando Certificados.

    O painel Criar certificado é aberto.

    A criação de um certificado consiste nas seguintes páginas:

    • Informações básicas
    • Informações do Assunto
    • Configuração do Certificado
    • Regras
    • Resumo

    Execute cada um dos seguintes workflows pela ordem. Você pode retornar a uma página anterior, selecionando Anterior.

    Informações básicas

    Digite as seguintes informações:

    • Nome: Informe o nome do certificado. Nenhum certificado na tenancy pode compartilhar o mesmo nome, incluindo certificados com exclusão pendente.
    • Descrição: (Opcional) Informe uma descrição para o certificado.
    • Compartimento: Selecione na lista o compartimento no qual o certificado reside.
    • Tipo de certificado: Selecione uma das seguintes opções:
      • Emitido pela CA interna: Cria um certificado emitido e gerenciado por uma autoridade de certificação privada (CA) do serviço Certificates.
      • Emitido por CA interna, gerenciado externamente: Cria um certificado emitido por uma autoridade de certificação privada do serviço Certificates que você pretende gerenciar fora do serviço.

    Marcação com Tags

    Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.

    Selecione Próximo.

    Informações do Assunto

    A página Informações do assunto é onde você fornece um nome comum para identificar o proprietário do certificado. Dependendo do uso pretendido do certificado, o titular pode identificar uma pessoa, uma organização ou um ponto final de computador. As informações do assunto também podem incluir nomes de DNS ou endereços IP como nomes alternativos do assunto pelos quais o portador do certificado também é conhecido. Caracteres curinga podem ser usados para emitir um certificado de vários nomes de domínio ou subdomínio.

    Digite as seguintes informações:

    • Nome comum: Informe um nome comum.
    • Nomes alternativos de assunto: Selecione uma das seguintes opções e informe seu valor correspondente:
      • Nome DNS
      • Endereço IP

      Selecione Outro nome alternativo de assunto para adicionar outro nome DNS ou endereço IP.

    Campos Adicionais

    Insira as informações solicitadas, como nome, endereço e informações organizacionais da matéria. Para obter detalhes sobre cada um dos valores em um nome distinto de assunto, consulte RFC 5280.

    Selecione Próximo.

    Configuração do Certificado

    Digite as seguintes informações:

    • Servidor ou cliente TLS: Selecione uma das seguintes opções na lista:
      • Servidor ou cliente TLS: Apresentado por um servidor ou cliente para conexões TLS/SSL.
      • Servidor TLS: Apresentado por um servidor para conexões TLS/SSL.
      • cliente TLS: Apresentado por um cliente durante conexões TLS/SSL.
      • Código de assinatura TLS: Apresentado por um programa para validar sua assinatura.
    • Compartimento da autoridade de certificação do emissor: Selecione o compartimento que contém a autoridade de certificação que você deseja usar.
    • Autoridade de certificação do emissor: Selecione a autoridade de certificação desejada. As autoridades de certificação listadas são as contidas no compartimento da autoridade de certificação do emissor selecionado.
    • Não válido antes: Informe a data (mm/dd/yyyy) ou use a ferramenta de calendário para especificar a qual o certificado não pode ser usado para validar a identidade de seu portador. Se você não especificar uma data, o período da validade do certificado começará imediatamente.
    • Horário: Informe o horário (hh:mm) em UTC para o dia em que você especificou que o certificado não é válido antes.
    • Não válido após: Informe a data (mm/dd/yyyy) ou use a ferramenta de calendário para especificar após a qual o certificado não é mais uma prova válida da identidade de seu portador. É necessário especificar uma data pelo menos um dia depois da data inicial do período de validade. A data não deve exceder a data de expiração da autoridade de certificação emissora.

      Você não pode especificar uma data além de 31 de Dezembro de 2037. Normalmente, os certificados são usados para toda a duração do período que eles são válidos, a não ser que algo exija revogação. O valor padrão é três meses após a criação do certificado.

    • Horário: Informe o horário (hh:mm) em UTC para o dia em que você especificou que o certificado não é válido depois.
    • Algoritmo de chave: Selecione o algoritmo e a combinação de tamanho de chave necessários para o par de chaves de certificado entre as seguintes opções:
      • RSA2048: Chave RSA (Rivest-Shamir-Adleman) de 2048 bits.
      • RSA4096: Chave RSA de 4096 bits.
      • ECDSA_P256: Chave ECDSA (Elliptic curve cryptography digital signature algorithm) com um ID de curva P256.
      • ECDSA_P384: Chave ECDSA com um ID de curva P384.

    Mostrar campos adicionais

    Algoritmo de assinatura: (Opcional) Selecione um dos seguintes algoritmos de assinatura, dependendo da autoridade de certificação selecionada:

    • SHA256_WITH_RSA: A chave RSA (Rivest-Shamir-Adleman) com uma função hash SHA-256.
    • SHA384_WITH_RSA: chave RSA com uma função hash SHA-384.
    • SHA512_WITH_RSA: chave RSA com uma função hash SHA-512.
    • SHA256_WITH_ECDSA: Chave ECDSA (Elliptic curve cryptography digital signature algorithm) com uma função hash SHA-256.
    • SHA384_WITH_ECDSA: Chave ECDSA com uma função hash SHA-384.
    • SHA512_WITH_ECDSA: Chave ECDSA com uma função hash SHA-512.

    Selecione Próximo.

    Regras

    A página Regras é onde você seleciona as configurações da regra de renovação. Para máxima flexibilidade, renovar o certificado antes do final do seu período de validade e com tempo de renovação antecipado suficiente em caso de falhas. Um certificado que expira antes que o serviço possa ser renovado com sucesso pode resultar em interrupções de serviço.

    • Intervalo de renovação (dias): Especifique o número de dias após os quais a regra será renovada.
    • Período de renovação antecipada (dias): Especifique o número de dias em que o certificado é renovado.

    Selecione Próximo.

    Resumo

    Revise o conteúdo da página Resumo. Selecione Editar para adicionar ou alterar informações na página associada. Quando as definições forem totalmente verificadas, selecione Criar certificado.

    O certificado criado aparece na página da lista Certificados.

  • Use o comando oci certs-mgmt certificate create-certificate-issued-by-internal-ca e os parâmetros necessários para criar um certificado:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information> [OPTIONS]

    Por exemplo:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação CreateCertificate para criar um certificado que você planeja gerenciar internamente.