Emitindo uma Autoridade de Certificação Subordinada

Emita uma autoridade de certificação (CA) subordinada.

Você já deve ter uma CA raiz no Oracle Cloud Infrastructure Certificates para criar uma CA subordinada. Você pode emitir uma CA subordinada de qualquer outra CA, desde que não exceda o número total permitido de CAs na tenancy.

A criação de uma CA requer que você tenha acesso a uma chave de criptografia assimétrica e protegida por hardware existente do serviço Oracle Cloud Infrastructure Vault. Para obter mais informações, consulte Visão Geral do Serviço Vault.

Ao criar uma CA com uma lista de revogação de certificados (CRL), você pode especificar um bucket do OCI Object Storage no qual deseja armazenar a CRL. O bucket já deve existir no momento da criação da CA.

1. Na página da lista Autoridades Certificadoras, selecione o nome da CA da qual você deseja emitir uma CA subordinada. Se precisar de ajuda para encontrar a página da lista, consulte Listando Autoridades de Certificação.
  
  Para localizar uma CA em outro compartimento, em Escopo da lista, selecione outro compartimento.
2. Em Recursos, selecione Autoridades de Certificação Subordinadas.
3. Selecione Emitir Autoridade de Certificado Subordinada.
4. Em Compartimento, selecione o compartimento onde deseja criar a CA.
5. Informe um nome para exibição exclusivo da CA. Esse nome ajuda a identificar a CA para fins administrativos, mas não aparece como parte do certificado da CA. Evite digitar informações confidenciais.
  
  Observação
  
  Duas CAs na tenancy não podem compartilhar o mesmo nome, incluindo CAs com exclusão pendente.
6. (Opcional) Informe uma descrição para ajudar a identificar a CA. Essa descrição ajuda a identificar a CA, mas não aparece como parte do certificado da CA. Evite digitar informações confidenciais.
7. (Opcional) Para aplicar tags, selecione Mostrar Opções de Tag. Para obter mais informações sobre tags, consulte Tags de Recurso.
8. Quando estiver pronto, selecione Próximo.
9. Informe o assunto. As informações do titular incluem pelo menos um nome comum para identificar o proprietário do certificado da CA. Dependendo do uso pretendido do certificado, o titular pode identificar uma pessoa, uma organização ou um ponto final de computador. Caracteres curinga podem ser usados para emitir um certificado de vários nomes de domínio ou subdomínio.
10. (Opcional) Para fornecer mais informações sobre o assunto da autoridade de certificação, selecione Mostrar campos adicionais. Para obter detalhes sobre cada um dos valores em um nome distinto de assunto, consulte RFC 5280. Quando estiver pronto, selecione Próximo.
11. (Opcional) Selecione Não Válido Antes de e especifique o horário e a data UTC em que deseja começar a usar a CA. Se você não especificar uma data, o período de validade da CA começará imediatamente.
12. Selecione Não Válida Após e especifique a data após a qual a CA não poderá mais ser usada para emitir ou validar CAs ou certificados subordinados. (É necessário especificar uma data pelo menos um dia depois da data inicial do período de validade. Não é possível especificar uma data posterior a 31 de dezembro de 2037. Os valores são arredondados para mais para o segundo mais próximo.)
13. Em Vault, selecione o vault que contém a chave de criptografia que você deseja usar para o certificado da CA. Se necessário, selecione Alterar Compartimento para especificar outro compartimento.
14. Em Chave, selecione a chave no vault que você deseja usar. A lista inclui apenas chaves assimétricas no vault porque o serviço Certificates só é compatível com chaves assimétricas. Além disso, a lista só inclui chaves da mesma família de algoritmos de chave que a CA mãe usa. Você pode selecionar entre as chaves Rivest-Shamir-Adleman (RSA) que são de 2.048 bits ou 4.096 bits. Você também pode selecionar entre chaves ECDSA (algoritmo de assinatura digital) de criptografia de curva elíptica que tenham um ID de curva elíptica de NIST_P384. Especificamente, a lista inclui apenas esses tipos de chaves assimétricas que são protegidas por um módulo de segurança de hardware (HSM). Os certificados não suportam o uso de chaves protegidas por software. Para obter informações sobre como criar e gerenciar chaves, consulte Gerenciando Chaves.
15. Selecione Algoritmo de Assinatura e, em seguida, selecione uma das seguintes opções, dependendo da família de algoritmos de chave:
  
  SHA256_WITH_RSA: A chave RSA (Rivest-Shamir-Adleman) com uma função hash SHA-256
  
  SHA384_WITH_RSA: chave RSA com uma função hash SHA-384
  
  SHA512_WITH_RSA: chave RSA com uma função hash SHA-512
  
  SHA256_WITH_ECDSA: Chave ECDSA (Elliptic curve cryptography digital signature algorithm) com uma função hash SHA-256
  
  SHA384_WITH_ECDSA: Chave ECDSA com uma função hash SHA-384
  
  SHA512_WITH_ECDSA: Chave ECDSA com uma função hash SHA-512
  Quando estiver pronto, selecione Próximo.
16. Configure a regra de expiração. Em Duração Máxima da Validade dos Certificados (Dias), especifique o número máximo de dias que um certificado emitido por essa CA pode ser válido. Recomenda-se usar um período de validade de no máximo 90 dias.
17. Em Tempo Máximo de Validade para CA Subordinada (Dias), especifique o número máximo de dias que uma CA emitida por essa CA pode ser válida para emitir outras CAs ou certificados. Quando estiver pronto, selecione Próximo.
18. Na página Configuração de Revogação, se você não quiser configurar uma lista de revogação de certificados (CRL), marque a caixa de seleção Anular Revogação. Para configurar a revogação do certificado, desmarque a caixa de seleção e especifique um Bucket do Serviço Object Storage no qual você planeja armazenar a CRL. Se necessário, selecione Alterar Compartimento para localizar um bucket em outro compartimento.
19. Em Formato do Nome do Objeto, especifique o nome do objeto. Você pode incluir chaves no nome do objeto para indicar onde o serviço pode inserir o número da versão da autoridade de certificação emissora. Isso ajuda a impedir a substituição de uma CRL existente sempre que você criar outra versão da CA. Para obter mais informações sobre nomes de objetos, consulte Nomes de Objetos.
20. (Opcional) Selecione URLs Personalizados Formatados e forneça o URL que você deseja usar com APIs para acessar o objeto. Esse URL é nomeado em certificados como o ponto de distribuição da CRL (CDP). É possível incluir chaves no URL para indicar onde o serviço pode inserir o número da versão da CA emissora. Ao fazer isso, você pode evitar a substituição de um CDP existente sempre que criar outra versão da CA. (Você só poderá especificar um URL HTTPS se não houver dependências circulares na verificação da cadeia HTTPS.)
21. (Opcional) Para fornecer outra CDP, selecione + Outro URL e, em seguida, forneça outro URL no qual os usuários possam acessar a CRL.
22. Quando estiver pronto, selecione Próximo.
23. Verifique se as informações estão corretas e selecione Criar Autoridade de Certificação.
  Pode levar algum tempo para criar recursos relacionados a certificado.

Use o comando oci certificates-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca e os parâmetros necessários para emitir uma CA subordinada:

oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

Por exemplo:

oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

Execute a operação CreateCertificateAuthority para emitir uma CA subordinada.

Documentação do Oracle Cloud Infrastructure

Emitindo uma Autoridade de Certificação Subordinada