Oracle Cloud Infrastructureドキュメント

外部で管理する証明書の作成

証明書サービス認証局(CA)を使用してキーを管理するのではなく、証明書の秘密キーを自分で管理する場合は、外部で管理する証明書を作成します。

証明書サービスを使用した証明書の発行や、サードパーティ認証局(CA)によって発行された証明書のインポートなど、複数の方法で証明書を作成できます。証明書をインポートするステップは、証明書のインポートを参照してください。

証明書を複数の方法で管理すると、作成プロセスにも影響します。証明書を発行するときに、同じCAを使用してすべてのものを処理することで、秘密キーを内部で生成および管理できます。証明書をインストールする予定のサーバーで証明書署名リクエスト(CSR)と秘密キーを生成してから、そのCSRをCAに送信して証明書を発行し、秘密キーを外部で管理することもできます。このタスクでは、外部で管理する秘密キーを持つ証明書を発行する方法について説明します。証明書サービスのCAを使用して内部で管理する証明書を発行するステップは、証明書の作成を参照してください。

    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします
    2. 「証明書」で、「証明書」をクリックします
    3. 「証明書の作成」をクリックします。
    4. 「コンパートメント」で、証明書を作成するコンパートメントを選択します。証明書は、CAと同じコンパートメントまたは別のコンパートメントに存在できます。
    5. 「証明書タイプ」で、後で外部のサードパーティCAによって管理される証明書サービスのCAから証明書を発行するには、「内部CAによって発行され、外部で管理」をクリックします。
    6. 証明書の一意の表示名を入力します。機密情報を入力しないでください。
      ノート

      削除保留中の証明書を含め、テナンシ内の2つの証明書で同じ名前を共有することはできません。
    7. (オプション)証明書の識別に役立つ説明を入力します。機密情報を入力しないでください。
    8. (オプション)タグを適用するには、「タグ付けオプションの表示」をクリックします。タグの詳細は、リソース・タグを参照してください。
    9. 「次へ」をクリックします。
    10. サードパーティCAが管理する証明書の場合、サブジェクト情報を指定する必要はありません。かわりに、「次」を再度クリックします。
    11. 証明書を発行するCAを変更するには、「Issuer Certificate Authority」でCAを選択します。必要に応じて、「コンパートメントの変更」をクリックし、CAが証明書に選択したコンパートメントとは異なるコンパートメントにある場合は、別のコンパートメントを選択します。
    12. (オプション)「有効期間の開始日」をクリックし、証明書を使用してその所有者のアイデンティティを検証する日付を入力します。日付を指定しない場合、証明書の有効期間はただちに開始します。値は最も近い秒に丸められます。
    13. 「有効終了日」をクリックし、証明書がその所有者のアイデンティティの有効な証明ではなくなる日付を変更します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元CAの有効期限以前の日付である必要があります。2037年12月31日より後の日付も指定できません。値は最も近い秒に丸められます。通常、証明書は、失効が必要になるようなことが起こらないかぎり、有効である期間中、証明書が使用されます。
    14. 「証明書署名リクエスト」で、次のいずれかを実行して証明書のコンテンツを指定します:
      • 「ファイルのアップロード」をクリックし、「1つ選択」をクリックして、証明書をPEM形式のファイルとしてアップロードします。
      • 「コンテンツの貼付け」をクリックし、テキスト・ボックスをクリックして、証明書のコンテンツを直接貼り付けます。

        準備が終わったら、「次」をクリックします。

    15. 証明書サービスで管理されない証明書の自動更新を構成することはできません。「次」をクリックして続行します。
    16. 情報が正しいことを確認し、「証明書の作成」をクリックします。

  • oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-caコマンドおよび必須パラメータを使用して、外部的に管理する予定の秘密キーを持つ証明書を作成します:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --csr-pem <certificate_signing_request_file>

    例:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name externalCert --csr-pem file://path/to/externalcert.pem

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  • CreateCertificate操作を実行して、外部で管理する予定の証明書を作成します。