Documentação do Oracle Cloud Infrastructure

Criar um Certificado

Crie um certificado para gerenciar internamente, incluindo a chave privada do certificado.

É necessário ter o nível apropriado de acesso de segurança para criar um certificado. Para obter mais informações, consulte Política do Serviço IAM Obrigatória.

Você pode criar um certificado de várias maneiras, inclusive usando o serviço Certificates para emitir um certificado e importando um certificado emitido por uma autoridade de certificação (CA) de terceiros. Para saber as etapas para importar um certificado, consulte Importando um Certificado.

Várias maneiras de gerenciar um certificado também afetam o processo de criação. Ao emitir um certificado, você pode gerar e gerenciar a chave privada internamente usando a mesma CA para lidar com tudo. Você também pode gerar uma solicitação de assinatura de certificado (CSR) e uma chave privada no servidor no qual planeja instalar o certificado e, em seguida, enviar essa CSR para uma CA para emitir um certificado, gerenciando a chave privada externamente. Esta tarefa descreve como emitir um certificado que você pretende gerenciar internamente. Para saber as etapas para emitir um certificado que você gerencia externamente com uma CA de terceiros, consulte Criando um Certificado para Gerenciar Externamente.

    1. Na página da lista Certificados, selecione Criar Certificado. Se precisar de ajuda para localizar a página da lista, consulte Listando Certificados.
    2. Em Compartimento, selecione o compartimento onde deseja criar o certificado. O certificado pode existir no mesmo compartimento da CA ou em outro.
    3. Em Tipo de Certificado, para emitir um certificado de uma CA do serviço Certificates que também gerencia o certificado, selecione Emitido por CA interna.
    4. Informe um nome para exibição exclusivo para o certificado. Evite digitar informações confidenciais.
      Observação

      Dois certificados na tenancy não podem compartilhar o mesmo nome, incluindo certificados com exclusão pendente.
    5. (Opcional) Informe uma descrição para ajudar a identificar o certificado. Evite digitar informações confidenciais.
    6. (Opcional) Para aplicar tags, selecione Mostrar Opções de Tag. Para obter mais informações sobre tags, consulte Tags de Recurso.
    7. Selecione Próximo.
    8. Informe o assunto. As informações do titular incluem um nome comum para identificar o proprietário do certificado. Dependendo do uso pretendido do certificado, o titular pode identificar uma pessoa, uma organização ou um ponto final de computador. As informações do titular também podem incluir nomes DNS ou endereços IP como nomes alternativos de titular pelos quais o titular do certificado também é conhecido. Caracteres curinga podem ser usados para emitir um certificado de vários nomes de domínio ou subdomínio.
    9. (Opcional) Para adicionar mais nomes alternativos de assunto, selecione + outro nome alternativo de assunto, selecione o tipo de endereço e informe o nome. Quando estiver pronto, selecione Próximo.
    10. Selecione um tipo de perfil de certificado entre os seguintes perfis com base no uso pretendido do certificado:
      • Servidor ou Cliente TLS: Apresentado por um servidor ou cliente para conexões TLS/SSL.
      • Servidor TLS: Apresentado por um servidor para conexões TLS/SSL.
      • Cliente TLS: Apresentado por um cliente durante conexões TLS/SSL.
      • Assinatura de Código TLS: Apresentado por um programa para validar sua assinatura.
    11. Para alterar a CA que emite o certificado, selecione Autoridade de Certificação do Emissor e selecione uma CA. Se necessário, selecione Alterar Compartimento e, em seguida, selecione outro compartimento se a CA estiver em um compartimento distinto daquele selecionado para o certificado.
    12. (Opcional) Selecione Não Válido Antes de e informe uma data antes da qual o certificado não poderá ser usado para validar a identidade de seu portador. Se você não especificar uma data, o período de validade do certificado começará imediatamente. Os valores são arredondados para mais para o segundo mais próximo.
    13. Selecione Not Valid After e altere a data após a qual o certificado não será mais uma prova válida da identidade de seu portador. É necessário especificar uma data pelo menos um dia depois da data inicial do período de validade. A data não deve exceder a data de expiração da autoridade de certificação emissora. Você também não pode especificar uma data posterior a 31 de dezembro de 2037. Os valores são arredondados para mais para o segundo mais próximo. Em geral, os certificados são usados durante todo o período em que são válidos, a menos que algo exija a revogação.
    14. Para Algoritmo de Chave, selecione a combinação de algoritmo e tamanho de chave necessária para o par de chaves de certificado nas seguintes opções:
      • RSA2048: Chave RSA (Rivest-Shamir-Adleman) de 2048 bits
      • RSA4096: Chave RSA de 4096 bits
      • ECDSA_P256: Chave ECDSA (Elliptic curve cryptography digital signature algorithm) com um ID de curva P256
      • ECDSA_P384: Chave ECDSA com um ID de curva P384
    15. (Opcional) Selecione Mostrar Campos Adicionais e, em Algoritmo de Assinatura, selecione um dos seguintes algoritmos de assinatura, dependendo da chave:
      • SHA256_WITH_RSA: A chave RSA (Rivest-Shamir-Adleman) com uma função hash SHA-256
      • SHA384_WITH_RSA: chave RSA com uma função hash SHA-384
      • SHA512_WITH_RSA: chave RSA com uma função hash SHA-512
      • SHA256_WITH_ECDSA: Chave ECDSA (Elliptic curve cryptography digital signature algorithm) com uma função hash SHA-256
      • SHA384_WITH_ECDSA: Chave ECDSA com uma função hash SHA-384
      • SHA512_WITH_ECDSA: Chave ECDSA com uma função hash SHA-512

        Quando estiver pronto, selecione Próximo.

    16. Para configurar a renovação automática do certificado para evitar interrupções em seu uso, especifique um valor diferente de zero para as seguintes configurações:
      • Intervalo de Renovação (Dias): Com que frequência o certificado é renovado
      • Período Avançado de Renovação (Dias): O número de dias antes da expiração do certificado em que a renovação acontece
      Para máxima flexibilidade, renove o certificado antes do final do seu período de validade e com tempo de renovação antecipado suficiente em caso de falhas. Um certificado que expira antes que o serviço possa renová-lo com sucesso pode resultar em interrupções no serviço.
      Quando estiver pronto, selecione Próximo.
    17. Verifique se as informações estão corretas e selecione Criar Certificado.
      Pode levar algum tempo para criar recursos relacionados a certificado.

  • Use o comando oci certific-mgmt certificate create-certificate-issued-by-internal-ca e os parâmetros necessários para criar um certificado emitido pelo serviço Certificates:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    Por exemplo:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência do Comando da CLI.

  • Execute a operação CreateCertificate para criar um certificado que você planeja gerenciar internamente.