Oracle Cloud Infrastructureドキュメント

証明書の概要

Oracle Cloud Infrastructure Certificatesでは、TLS証明書、認証局(CA)およびCAバンドルを作成および管理できます。

Oracle Cloud Infrastructure Certificatesは、証明書の発行、格納および管理機能(失効や自動更新も含む)を組織に提供します。すでに使用しているサードパーティ認証局(CA)がある場合は、Oracle Cloud Infrastructureテナンシで使用するために、そのCAによって発行された証明書をインポートできます。Oracle Cloud Infrastructure Load Balancerとの統合により、証明書によって発行または管理されるTLS証明書を、証明書を必要とするリソースとシームレスに関連付けることができます。

証明書サービスを使用すると、次のリソースを作成および管理できます:

  • 認証局(CA)
  • 証明書
  • CAバンドル

証明書サービスを使用して、CA、証明書およびCAバンドルの次のライフサイクル管理機能を実行し、これらのリソースを制御したり、これらのリソースにアクセスしたりすることができます:

  • CA(ルートまたは下位CAを含む)、証明書またはCAバンドルの作成
  • サードパーティCAによって外部で発行された証明書のインポート
  • CA、証明書またはCAバンドルのメタデータの更新
  • CAまたは証明書を更新するか、新しい証明書コンテンツでCAバンドルを更新
  • 不要になったCA、証明書またはCAバンドルの削除
  • CAとCAによって発行された証明書の有効期間に関するルールの構成
  • 証明書を自動的に更新するためのルールの構成
  • CA、証明書または証明書バンドルのどのバージョンが現行かを指定
  • CAまたは証明書のバージョンが危険にさらされ、使用されなくなった場合に、そのバージョンを取消し
  • カスタム・メタデータによるCA、証明書またはCAバンドルのタグ付け

証明書関連リソースの使用については、次のことができます:

  • CA、証明書およびCAバンドルのバンドルの表示
  • 1つ以上のサポートされているOracle Cloud Infrastructureリソース(Load Balancerなど)への証明書の関連付け

Oracle Cloud Infrastructure Identity and Access Management (IAM)との統合により、CA、証明書およびCAバンドルにアクセスできるユーザーとサービス、およびそれらのリソースに対して実行できる操作を制御できます。Oracle Cloud Infrastructure Auditの統合により、証明書の使用状況をモニターできます。監査は、CA、証明書およびCAバンドルに対する管理アクションをトラッキングします。

クラウド・ガードとの統合により、証明書リソースの構成および潜在的なリスクのあるアクティビティに関連するセキュリティ脆弱性の領域を検出できます。クラウド・ガードの統合により、検出された問題を修正するための推奨ステップも提供されます。詳細は、Cloud Guardとその他のサービスの統合: 証明書サービスを参照してください。

証明書の概念

証明書サービスの主な概念とコンポーネントを理解します。

証明書
証明書は、そのサブジェクトが証明書内の公開キーの所有者であることを確認するデジタル・ドキュメントです。証明書は、エンド・エンティティ証明書またはリーフ証明書とも呼ばれます。エンド・エンティティ証明書は、他の証明書の署名に使用できない証明書です。たとえば、TLS/SSLサーバーおよびクライアント証明書、電子メール証明書、コード署名証明書、限定証明書はすべてエンド・エンティティ証明書です。
認証局
認証局(CA)は、証明書と下位CAを発行します。CAは、特定の証明書内の公開キーの所有権を証明するために存在します。CA証明書は、CAが発行する証明書のCA署名を認証します。CAが存在する階層では、最上位のCAがルートCAと呼ばれ、階層内に存在するCAはすべて下位CAになります。
CA階層は信頼チェーン(または証明パス)を確立しており、各エンティティがチェーン内ですぐ下にあるエンティティに署名します。ルートCAは、自己署名証明書です。証明書が信頼されるためには、検証を実行するエンドポイントに従って、ルートCAが信頼できるルートCAであることが必要です。
CAバンドル
バンドルには、ルート証明書と中間証明書(バンドルのコンテンツとも呼ばれる)、証明書のプロパティ(および証明書バージョン)、およびユーザーが提供する証明書のコンテキスト・メタデータが含まれます。CAバンドルには、単一のCAまたは複数のCA (証明書サービスによって管理されていないCAを含む)を含めることができます。証明書サービスでは、PEM形式の証明書コンテンツがサポートされます。
証明書チェーン
証明書チェーンは、エンド・エンティティ証明書からルート証明書までの証明書のリストです。このサービスでは、証明書によって異なるキー・アルゴリズム・ファミリを使用する(一部の証明書でRSAキーを使用し、他の証明書でECDSAキーを使用するなど)混合証明書チェーンはサポートしていません。キー・アルゴリズム・ファミリごとに異なるCAチェーンを使用することをお薦めします。
証明書失効リスト
証明書失効リスト(CRL)はCAによって発行され、発行元CAが有効期限より前に取り消したすべてのCAおよび証明書が含まれます。失効すると証明書は無効になるため、信頼できなくなります。

リージョンおよび可用性ドメイン

証明書サービスは、すべてのOracle Cloud Infrastructure商用リージョンで使用できます。使用可能なリージョンのリストと、関連する場所、リージョン識別子、リージョン・キーおよび可用性ドメインについては、リージョンおよび可用性ドメインについてを参照してください。

リソース識別子

ほとんどのタイプのOracle Cloud Infrastructureリソースには、Oracle Cloud ID (OCID)と呼ばれる、Oracleによって割り当てられた一意の識別子があります。OCIDのフォーマットおよびその他のリソース識別方法の詳細は、リソース識別子を参照してください。

Oracle Cloud Infrastructureへのアクセス方法

Oracle Cloud Infrastructureには、コンソール(ブラウザベースのインタフェース)またはREST APIを使用してアクセスできます。コンソールおよびAPIに関する手順は、このガイド全体のトピックに記載されています。使用可能なSDKのリストは、SDKおよびCLIを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページの上部にあるナビゲーション・メニューを開き、「Infrastructureコンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

使用可能なSDKのリストは、SDKおよびCLIを参照してください。APIの使用に関する一般情報は、REST APIのドキュメントを参照してください。

APIの使用の詳細は、REST APIを参照してください。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証および認可のためにIAMと統合されます。

組織の管理者は、グループコンパートメントおよびポリシーを設定して、どのユーザーがどのサービスおよびリソースにアクセスできるかと、そのアクセス権のタイプを制御する必要があります。たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。様々なサービスそれぞれに対するポリシー作成の詳細は、ポリシー・リファレンスを参照してください。

管理者以外の通常のユーザーが会社所有のOracle Cloud Infrastructureリソースを使用する必要がある場合は、管理者に連絡してユーザーIDを設定してください。管理者は、ユーザーが使用できるコンパートメント(1つまたは複数)を確認できます。

証明書リソースの制限

適用可能な制限の一覧および制限の引上げをリクエストする方法については、サービス制限を参照してください。