認証局の作成
証明書サービスを使用して、ルート認証局(CA)または下位CAを作成します。
下位CAを作成するには、ルートCAがすでに必要です。
CAを作成するには、適切なレベルのセキュリティ・アクセス権が必要です。詳細は、必要なIAMポリシーを参照してください。
CAを作成するには、Oracle Cloud Infrastructure (OCI) Vaultサービスからハードウェア保護された既存の非対称暗号化キーにアクセスできる必要があります。詳細は、ボールトの概要を参照してください。
証明書失効リスト(CRL)を含むCAを作成する場合、CRLを格納するOCIオブジェクト・ストレージ・バケットを指定できます。バケットは、CAの作成時にすでに存在している必要があります。また、バケットは、他の目的や、他のCAのCRLを格納するために使用しない専用バケットである必要があります。
- 「認証局」リスト・ページで、「認証局の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、認証局のリストを参照してください。
- 「コンパートメント」を選択し、CAを作成するコンパートメントを選択します。
-
「権限タイプ」で、次のオプションからCAのタイプを選択します:
- ルート認証局: CAのチェーン内で階層の最上位に位置するCA。
- 下位認証局: 他のCAを含む階層内のルートCAではないルートCAである任意のCA。
-
CAの一意の表示名を入力します。この名前は、管理目的でCAを識別するのに役立ちますが、CA証明書の一部として表示されるわけではありません。機密情報を入力しないでください。
ノート
テナンシ内の2つのCAは、削除保留中のCAを含め、同じ名前を共有できません。 - (オプション)CAの識別に役立つ説明を入力します。(この説明は、CAの識別に役立ちますが、CA証明書の一部として表示されるわけではありません。)機密情報を入力しないでください。
- (オプション)タグを適用するには、「タグ付けオプションの表示」を選択します。タグの詳細は、リソース・タグを参照してください。
- 「次」を選択します。
- サブジェクト情報を指定します。サブジェクト情報には、少なくともCA証明書の所有者を識別するための共通名が含まれます。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。サブジェクト情報の形式は、RFC 5280標準に準拠している必要があります。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。
- (オプション)認証局のサブジェクト情報をさらに提供するには、「追加フィールドの表示」を選択します。サブジェクト識別名の各値の詳細は、RFC 5280を参照してください。
- 準備ができたら、「次へ」を選択します。
- (オプション)「有効期間の開始日」を選択し、CAの使用を開始するUTC時間および日付を指定します。日付を指定しない場合、CAの有効期間はただちに開始します。
- 「Not Valid After」を選択し、CAが下位CAまたは証明書の発行または検証に使用できなくなる日付を指定します。(有効期間の開始日より1日以上後の日付を指定する必要があります。2037年12月31日より後の日付は指定できません。値は最も近い秒に切り上げられます。)
- 部下CAを作成する場合、「発行元認証局」で、このCAを発行する親CAを指定します。ルートCAを作成する場合は、次のステップに進みます。
- 「Vault」で、CA証明書に使用する暗号化キーが格納されたボールトを選択します。オプションで、「コンパートメントの変更」を選択して別のコンパートメントを指定します。ボールトの作成および管理の詳細は、ボールトの管理を参照してください。
- 「キー」で、使用するボールト内のキーを選択します。証明書では非同期キーのみがサポートされるため、リストにはボールト内の非対称キーのみが含まれます。2,048ビットまたは4,096ビットであるRivest-Shamir-Adleman (RSA)鍵から選択できます。NIST_P384の楕円曲線IDを持つ楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーを選択することもできます。具体的に言うと、このリストには、ハードウェア・セキュリティ・モジュール(HSM)によって保護されているこれらのタイプの非対称キーのみが含まれます。証明書では、ソフトウェアで保護されたキーの使用はサポートされていません。キーの作成および管理の詳細は、キーの管理を参照してください。
-
「署名アルゴリズム」で、キー・アルゴリズム・ファミリに応じて、次のいずれかのオプションを選択します。
- SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRSAキー
- SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
- SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
- SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用したECDSAキー
- SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
- SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー
準備ができたら、「次へ」を選択します。
- 失効ルールを構成します。「証明書の最大有効期間(日数)」で、このCAによって発行された証明書を有効にできる最大日数を指定します。有効期間は90日以内にすることを強くお薦めします。
- 「下位CAの最大有効期間(日数)」で、このCAによって発行されたCAを有効にして他のCAまたは証明書を発行できる最大日数を指定します。準備ができたら、「次へ」を選択します。
- 「失効構成」ページで、証明書失効リスト(CRL)を構成しない場合は、「失効のスキップ」チェック・ボックスを選択します。証明書失効を構成するには、チェック・ボックスの選択を解除し、CRLを格納する専用のオブジェクト・ストレージ・バケットを指定します。
- (オプション)「コンパートメントの変更」を選択して、別のコンパートメント内のバケットを見つけます。
- 「オブジェクト名形式」で、オブジェクト名を指定します。オブジェクト名に中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。この追加により、別のCAバージョンを作成するたびに既存のCRLが上書きされます。オブジェクト名の詳細は、オブジェクト名を参照してください。
- (オプション)「カスタム形式のURL」で、オブジェクトへのアクセスにAPIで使用するURLを指定します。このURLには、証明書でCRL配布ポイント(CDP)として名前が付けられます。URLに中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。この追加により、別のCAバージョンを作成するたびに既存のCDPが上書きされなくなります。HTTPS URLを指定できるのは、HTTPSチェーンの検証で循環依存が存在しない場合のみです。
- (オプション)別のCDPを指定するには、「+別のURL」を選択し、ユーザーがCRLにアクセスできる別のURLを指定します。
- 準備ができたら、「次へ」を選択します。
-
情報が正しいことを確認し、「認証局の作成」を選択します。
証明書関連リソースの作成には時間がかかる場合があります。
使用するコマンドは、ルートCAと下位CAのどちらを作成するかによって異なります。
oci certs-mgmt certificate-authority create-root-CA-by-generating-config-detailsコマンドおよび必須パラメータを使用して、ルートCAを作成します:
コマンドoci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id <compartment_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>例:
oci certs-mgmt certificate-authority create-root-ca-by-generating-config-details --compartment-id ocid1.compartment.oc1..<unique_id> --name myNewCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>下位CAを作成するには、oci certs-mgmt certificate-authority create-subordinate-CA-issued-by-internal-CAコマンドおよび必須パラメータを使用します:
コマンドoci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>例:
oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
CreateCertificateAuthority操作を実行してCAを作成します。