下位認証局の発行

• コンソール
• CLI
• API

• 1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします
  2. 「証明書」で、「認証局」をクリックします
  3. コンパートメント内のCAのリストから、下位CAを発行するCAの名前をクリックします。

     別のコンパートメント内のCAを見つけるには、「リスト範囲」で別のコンパートメントを選択します。

  4. 「リソース」で、「下位認証局」をクリックします。
  5. 「下位認証局の発行」をクリックします。
  6. 「コンパートメント」で、CAを作成するコンパートメントを選択します。
  7. CAの一意の表示名を入力します。この名前は、管理目的でCAを識別するのに役立ちますが、CA証明書の一部として表示されるわけではありません。機密情報を入力しないでください。
     ノート
     
     テナンシ内の2つのCAが同じ名前を共有することはできません(削除保留中のCAを含む)。
  8. (オプション)CAの識別に役立つ説明を入力します。この説明は、CAの識別に役立ちますが、CA証明書の一部として表示されるわけではありません。機密情報を入力しないでください。
  9. (オプション)タグを適用するには、「タグ付けオプションの表示」をクリックします。タグの詳細は、リソース・タグを参照してください。
  10. 準備が終わったら、「次」をクリックします。
  11. サブジェクト情報を指定します。サブジェクト情報には、少なくともCA証明書の所有者を識別するための共通名が含まれます。証明書の使用目的に応じて、サブジェクトは個人、組織またはコンピュータ・エンドポイントを識別します。ワイルドカードを使用して、複数のドメイン名またはサブドメイン名の証明書を発行できます。
  12. (オプション)認証局のサブジェクト情報をさらに提供するには、「追加フィールドの表示」をクリックします。サブジェクトの識別名の各値の詳細は、RFC 5280を参照してください。準備が終わったら、「次」をクリックします。
  13. (オプション)「有効期間の終了日」をクリックし、CAの使用を開始するUTC時間および日付を指定します。日付を指定しない場合、CAの有効期間はただちを開始します。
  14. 「有効期間の終了日」をクリックし、CAが下位CAまたは証明書の発行または検証に使用できなくなる日付を指定します。(有効期間の開始日より1日以上後の日付を指定する必要があります。2037年12月31日より後の日付は指定できません。値は最も近い秒に切り上げられます。)
  15. 「Vault」で、CA証明書に使用する暗号化キーが格納されたボールトを選択します。必要に応じて、「コンパートメントの変更」をクリックして別のコンパートメントを指定します。
  16. 「キー」で、使用するボールト内のキーを選択します。証明書では非対称キーのみがサポートされるため、リストにはボールト内の非対称キーのみが含まれます。さらに、リストには、親CAが使用するキーと同じキー・アルゴリズム・ファミリからのキーのみが含まれます。2,048ビットまたは4,096ビットのRivest-Shamir-Adleman (RSA)キーを選択できます。NIST_P384の楕円曲線IDを持つ楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キーから選択することもできます。具体的に言うと、このリストには、ハードウェア・セキュリティ・モジュール(HSM)によって保護されているこれらのタイプの非対称キーのみが含まれます。証明書では、ソフトウェアで保護されたキーの使用はサポートされていません。キーの作成および管理の詳細は、キーの管理を参照してください。
  17. 「署名アルゴリズム」をクリックし、キー・アルゴリズム・ファミリに応じて次のいずれかのオプションを選択します:
      • SHA256_WITH_RSA: SHA-256ハッシュ関数を使用したRivest-Shamir-Adleman (RSA)キー
      • SHA384_WITH_RSA: SHA-384ハッシュ関数を使用したRSAキー
      • SHA512_WITH_RSA: SHA-512ハッシュ関数を使用したRSAキー
      • SHA256_WITH_ECDSA: SHA-256ハッシュ関数を使用した楕円曲線暗号デジタル署名アルゴリズム(ECDSA)キー
      • SHA384_WITH_ECDSA: SHA-384ハッシュ関数を使用したECDSAキー
      • SHA512_WITH_ECDSA: SHA-512ハッシュ関数を使用したECDSAキー

        準備が終わったら、「次」をクリックします。

  18. 失効ルールを構成します。「証明書の最大有効期間(日数)」で、このCAによって発行された証明書を有効にできる最大日数を指定します。有効期間は90日以内にすることを強くお薦めします。
  19. 「下位CAの最大検証期間(日数)」で、このCAによって発行されたCAを有効にして、他のCAまたは証明書を発行できる最大日数を指定します。準備が終わったら、「次」をクリックします。
  20. 「失効構成」ページで、証明書失効リスト(CRL)を構成しない場合は、「失効のスキップ」チェック・ボックスを選択します。証明書失効を構成するには、チェック・ボックスをクリアし、CRLを格納するオブジェクト・ストレージ・バケットを指定します。必要に応じて、「コンパートメントの変更」をクリックして、別のコンパートメント内のバケットを見つけます。
  21. 「オブジェクト名形式」で、オブジェクト名を指定します。オブジェクト名に中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。これにより、別のCAバージョンを作成するたびに既存のCRLが上書きされます。オブジェクト名の詳細は、オブジェクト名を参照してください。
  22. (オプション)「カスタム形式のURL」をクリックし、オブジェクトへのアクセスにAPIで使用するURLを指定します。このURLには、証明書でCRL配布ポイント(CDP)として名前が付けられます。URLに中カッコを含めて、サービスが発行元CAのバージョン番号を挿入できる場所を示すことができます。これにより、別のCAバージョンを作成するたびに既存のCDPが上書きされるのを回避できます。(HTTPS URLを指定できるのは、HTTPSチェーンの検証で循環依存が存在しない場合のみです。)
  23. (オプション)別のCDPを指定するには、「+別のURL」をクリックし、ユーザーがCRLにアクセスできる別のURLを指定します。
  24. 準備が終わったら、「次」をクリックします。
  25. 情報が正しいことを確認し、「認証局の作成」をクリックします。
      証明書関連リソースの作成には時間がかかる場合があります。

• oci certs-mgmt certificate-authority create-subordinate-CA-issued-by-internal-CAコマンドおよび必須パラメータを使用して、下位CAを発行します:

  oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <parent_CA_OCID> --name <CA_display_name> --subject <certificate_subject_information> --kms-key-id <Vault_encryption_key_OCID>

  例:

  oci certs-mgmt certificate-authority create-subordinate-ca-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name mySubCA --subject file://path/to/casubject.json --kms-key-id ocid1.key.oc1.<region>.<unique_id>

  For a complete list of parameters and values for CLI commands, see the CLI Command Reference.

• CreateCertificateAuthority操作を実行して、下位CAを発行します。