下位認証局の発行

• コンソール
• CLI
• API

• 1. 「認証局」リスト・ページで、下位CAの発行元であるCAの名前を選択します。リスト・ページの検索に関するヘルプが必要な場合は、認証局のリストを参照してください。

     別のコンパートメント内のCAを見つけるには、「リスト範囲」で別のコンパートメントを選択します。

  2. 「リソース」で、「下位認証局」を選択します。
  3. 「下位認証局の発行」を選択します。
  4. 「コンパートメント」で、CAを作成するコンパートメントを選択します。
  5. CAの一意の表示名を入力します。この名前は、管理目的でCAを識別するのに役立ちますが、CA証明書の一部として表示されるわけではありません。機密情報を入力しないでください。
     ノート
     
     テナンシ内の2つのCAが同じ名前を共有することはできません(削除保留中のCAを含む)。
  6. (オプション)CAの識別に役立つ説明を入力します。この説明は、CAの識別に役立ちますが、CA証明書の一部として表示されるわけではありません。機密情報を入力しないでください。
  7. (オプション)タグを適用するには、「タグ付けオプションの表示」を選択します。タグの詳細は、リソース・タグを参照してください。
  8. 準備ができたら、「次へ」を選択します。
  9. サブジェクト情報を指定します。サブジェクト情報には、少なくともCA証明書の所有者を識別するための共通名が含まれます。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。
  10. (オプション)認証局のサブジェクト情報をさらに提供するには、「追加フィールドの表示」を選択します。サブジェクト識別名の各値の詳細は、RFC 5280を参照してください。準備ができたら、「次へ」を選択します。
  11. (オプション)「有効期間の開始日」を選択し、CAの使用を開始するUTC時間および日付を指定します。日付を指定しない場合、CAの有効期間はただちに開始します。
  12. 「Not Valid After」を選択し、CAが下位CAまたは証明書の発行または検証に使用できなくなる日付を指定します。(有効期間の開始日より1日以上後の日付を指定する必要があります。2037年12月31日より後の日付は指定できません。値は最も近い秒に切り上げられます。)
  13. 「Vault」で、CA証明書に使用する暗号化キーが格納されたボールトを選択します。必要に応じて、「コンパートメントの変更」を選択して別のコンパートメントを指定します。
  14. 「キー」で、使用するボールト内のキーを選択します。証明書では非同期キーのみがサポートされるため、リストにはボールト内の非対称キーのみが含まれます。さらに、リストには、親CAが使用するキーと同じキー・アルゴリズム・ファミリからのキーのみが含まれます。2,048ビットまたは4,096ビットであるRivest-Shamir-Adleman (RSA)鍵から選択できます。楕円曲線IDがNIST_P384の楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーから選択することもできます。具体的に言うと、このリストには、ハードウェア・セキュリティ・モジュール(HSM)によって保護されているこれらのタイプの非対称キーのみが含まれます。証明書では、ソフトウェアで保護されたキーの使用はサポートされていません。キーの作成および管理の詳細は、キーの管理を参照してください。
  15. 「署名アルゴリズム」を選択し、キー・アルゴリズム・ファミリに応じて次のいずれかのオプションを選択します。
      • SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRivest-Shamir-Adleman (RSA)キー
      • SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
      • SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
      • SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用した楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
      • SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー

        準備ができたら、「次へ」を選択します。

  16. 失効ルールを構成します。「証明書の最大有効期間(日数)」で、このCAによって発行された証明書を有効にできる最大日数を指定します。有効期間は90日以内にすることを強くお薦めします。
  17. 「下位CAの最大有効期間(日数)」で、このCAによって発行されたCAを有効にして他のCAまたは証明書を発行できる最大日数を指定します。準備ができたら、「次へ」を選択します。
  18. 「失効構成」ページで、証明書失効リスト(CRL)を構成しない場合は、「失効のスキップ」チェック・ボックスを選択します。証明書失効を構成するには、チェック・ボックスの選択を解除し、CRLを格納するオブジェクト・ストレージ・バケットを指定します。必要に応じて、「コンパートメントの変更」を選択して、別のコンパートメント内のバケットを見つけます。
  19. 「オブジェクト名形式」で、オブジェクト名を指定します。オブジェクト名に中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。これにより、別のCAバージョンを作成するたびに既存のCRLが上書きされます。オブジェクト名の詳細は、オブジェクト名を参照してください。
  20. (オプション)「カスタムURL」を選択し、オブジェクトへのアクセスにAPIで使用するURLを指定します。このURLには、証明書でCRL配布ポイント(CDP)として名前が付けられます。URLに中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。これにより、別のCAバージョンを作成するたびに既存のCDPが上書きされるのを回避できます。(HTTPS URLを指定できるのは、HTTPSチェーンの検証で循環依存関係が存在しない場合のみです。)
  21. (オプション)別のCDPを指定するには、「+別のURL」を選択し、ユーザーがCRLにアクセスできる別のURLを指定します。
  22. 準備ができたら、「次へ」を選択します。
  23. 情報が正しいことを確認し、「認証局の作成」を選択します。
      証明書関連リソースの作成には時間がかかる場合があります。

• oci certs-mgmt certificate-authority create-subordinate-CA-issued-by-internal-CAコマンドおよび必須パラメータを使用して、下位CAを発行します:

  コマンド

  コピー試してみる

  oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

  例:

  oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

  CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

• CreateCertificateAuthority操作を実行して、下位CAを発行します。