Oracle Cloud Infrastructureドキュメント

証明書の作成

証明書の秘密キーを含め、内部で管理する証明書を作成します。

証明書を作成するには、適切なレベルのセキュリティ・アクセスが必要です。For more information, see Required IAM Policy.

証明書サービスを使用して証明書を発行し、サードパーティ認証局(CA)によって発行された証明書をインポートすることなど、複数の方法で証明書を作成できます。証明書をインポートするステップは、証明書のインポートを参照してください。

証明書を複数の方法で管理すると、作成プロセスにも影響します。証明書を発行するときに、同じCAを使用してすべてのものを処理することで、秘密キーを内部で生成および管理できます。証明書をインストールする予定のサーバーで証明書署名リクエスト(CSR)と秘密キーを生成してから、そのCSRをCAに送信して証明書を発行し、秘密キーを外部で管理することもできます。このタスクでは、内部で管理する予定の証明書を発行する方法について説明します。サードパーティCAを使用して外部で管理する証明書を発行するステップは、外部で管理する証明書の作成を参照してください。

    1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします
    2. 「証明書」で、「証明書」をクリックします
    3. 「証明書の作成」をクリックします。
    4. 「コンパートメント」で、証明書を作成するコンパートメントを選択します。証明書は、CAと同じコンパートメントまたは別のコンパートメントに存在できます。
    5. 「証明書タイプ」で、「証明書」サービスのCAから証明書を発行し、その証明書も管理するには、「内部CAによって発行済」をクリックします。
    6. 証明書の一意の表示名を入力します。機密情報を入力しないでください。
      ノート

      削除保留中の証明書を含め、テナンシ内の2つの証明書で同じ名前を共有することはできません。
    7. (オプション)証明書の識別に役立つ説明を入力します。機密情報を入力しないでください。
    8. (オプション)タグを適用するには、「タグ付けオプションの表示」をクリックします。タグの詳細は、リソース・タグを参照してください。
    9. 「次」をクリックします。
    10. サブジェクト情報を指定します。サブジェクト情報には、証明書の所有者を識別するための共通名が含まれます。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。サブジェクト情報には、DNS名またはIPアドレスをサブジェクトの代替名として含めることができ、これによって証明書の所有者も認識されます。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。
    11. (オプション)サブジェクト代替名を追加するには、「+別のサブジェクト代替名」をクリックし、アドレスのタイプを選択して名前を入力します。準備が終わったら、「次」をクリックします。
    12. 証明書の用途に基づいて、次のプロファイルから証明書プロファイル・タイプを選択します:
      • TLSサーバーまたはクライアント: TLS/SSL接続用にサーバーまたはクライアントによって指定されます。
      • TLSサーバー: TLS/SSL接続用にサーバーによって指定されます。
      • TLSクライアント: TLS/SSL接続時にクライアントによって指定されます。
      • TLSコード署名: 署名の検証用にプログラムによって指定されます。
    13. 証明書を発行するCAを変更するには、「発行元認証局」をクリックし、CAを選択します。必要に応じて、「コンパートメントの変更」をクリックし、CAが証明書に選択したコンパートメントとは異なるコンパートメントにある場合は、別のコンパートメントを選択します。
    14. (オプション)「有効期間の開始日」をクリックし、証明書を使用してその所有者のアイデンティティを検証する日付を入力します。日付を指定しない場合、証明書の有効期間はただちに開始します。値は最も近い秒に丸められます。
    15. 「有効終了日」をクリックし、証明書がその所有者のアイデンティティの有効な証明ではなくなる日付を変更します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元CAの有効期限以前の日付である必要があります。2037年12月31日より後の日付も指定できません。値は最も近い秒に丸められます。通常、証明書は、失効が必要になるようなことが起こらないかぎり、有効である期間中、証明書が使用されます。
    16. 「キー・アルゴリズム」で、次のオプションから証明書キー・ペアに必要なアルゴリズムとキーの長さの組合せを選択します:
      • RSA2048: Rivest-Shamir-Adleman (RSA) 2048ビット・キー
      • RSA4096: RSA 4096ビット・キー
      • ECDSA_P256: P256曲線IDを持つ楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • ECDSA_P384: P384曲線IDを持つECDSAキー
    17. (オプション)「追加フィールドの表示」をクリックし、「署名アルゴリズム」で、キーに応じて次のいずれかの署名アルゴリズムを選択します:
      • SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRivest-Shamir-Adleman (RSA)キー
      • SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
      • SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
      • SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用した楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
      • SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー

        準備が終わったら、「次」をクリックします。

    18. 証明書の使用が中断しないように証明書の自動更新を構成するには、次の設定にゼロ以外の値を指定します:
      • 更新間隔(日数): 証明書を更新する頻度
      • Advance Renewal Period (Days): 更新が行われる証明書の期限切れまでの日数
      十分な柔軟性を確保するには、有効期間の終了前に証明書を更新し、障害が発生した場合に十分な事前更新時間で更新します。サービスが正常に更新される前に期限切れになる証明書は、サービスが中断する可能性があります。
      準備が終わったら、「次」をクリックします。
    19. 情報が正しいことを確認し、「証明書の作成」をクリックします。
      証明書関連リソースの作成には時間がかかる場合があります。

  • oci certs-mgmt certificate create-certificate-issued-by-internal-caコマンドおよび必須パラメータを使用して、証明書サービスによって発行される証明書を作成します:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type <certificate_usage_profile> --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --subject <subject_information>

    例:

    oci certs-mgmt certificate create-certificate-issued-by-internal-ca --certificate-profile-type TLS_SERVER_OR_CLIENT --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name internalCert --subject file://path/to/certsubject.json

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  • CreateCertificate操作を実行して、内部で管理する予定の証明書を作成します。