Oracle Cloud Infrastructureドキュメント

外部で管理する証明書の作成

証明書サービス認証局(CA)を使用して鍵を管理するのではなく、証明書の秘密鍵を自分で管理する場合は、外部で管理する証明書を作成します。

証明書は、複数の方法で作成できます。たとえば、証明書サービスを使用した証明書の発行や、サードパーティ認証局(CA)によって発行された証明書のインポートなどです。証明書をインポートするステップは、証明書のインポートを参照してください。

証明書の管理方法は複数あり、作成プロセスにも影響します。証明書を発行するときに、同じCAを使用してすべてのものを処理することで、秘密キーを内部で生成および管理できます。また、証明書をインストールする予定のサーバーで証明書署名リクエスト(CSR)と秘密キーを生成してから、そのCSRをCAに送信して証明書を発行することもできます。この場合、秘密キーは外部で管理します。このタスクでは、外部で管理する秘密キーを持つ証明書を発行する方法について説明します。証明書サービスのCAを使用して内部で管理する証明書を発行するステップは、証明書の作成を参照してください。

    1. 「証明書」リスト・ページで、「証明書の作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、証明書のリストを参照してください。
    2. 「コンパートメント」で、証明書を作成するコンパートメントを選択します。証明書は、CAと同じコンパートメントまたは別のコンパートメントに存在できます。
    3. 「証明書タイプ」で、後で外部のサードパーティCAによって管理される証明書サービスCAから証明書を発行するには、「内部CAによって発行され、外部で管理」を選択します。
    4. 証明書の一意の表示名を入力します。機密情報を入力しないでください。
      ノート

      削除保留中の証明書を含め、テナンシ内の2つの証明書で同じ名前を共有することはできません。
    5. (オプション)証明書の識別に役立つ説明を入力します。機密情報を入力しないでください。
    6. (オプション)タグを適用するには、「タグ付けオプションの表示」を選択します。タグの詳細は、リソース・タグを参照してください。
    7. 「次」を選択します。
    8. サードパーティCAが管理する証明書の場合、サブジェクト情報を指定する必要はありません。かわりに、「次へ」を再度選択します。
    9. 証明書を発行するCAを変更するには、「発行元認証局」で、CAを選択します。必要に応じて、「コンパートメントの変更」を選択し、CAが証明書に選択したコンパートメントとは異なるコンパートメントにある場合は、別のコンパートメントを選択します。
    10. (オプション)「有効期間の開始日」を選択し、証明書を使用してその所有者のアイデンティティを検証する日付を入力します。日付を指定しない場合、証明書の有効期間はただちに開始します。値は最も近い秒に切り上げられます。
    11. 「有効期間の終了日」を選択し、証明書がその所有者のアイデンティティの有効な証明ではなくなる日付を変更します。有効期間の開始日より1日以上後の日付を指定する必要があります。この日付は、発行元CAの有効期限以前の日付である必要があります。2037年12月31日より後の日付も指定できません。値は最も近い秒に切り上げられます。通常、証明書は、失効が必要になるような問題が発生しないかぎり、有効である期間全体にわたって使用されます。
    12. 「証明書署名リクエスト」で、次のいずれかを実行して証明書のコンテンツを指定します:
      • 「ファイルのアップロード」を選択し、「1つ選択」を選択して、PEM形式のファイルとして証明書をアップロードします。
      • 「コンテンツの貼付け」を選択し、テキスト・ボックスを選択して証明書の内容を直接貼り付けます。

        準備ができたら、「次へ」を選択します。

    13. 証明書サービスで管理されない証明書の自動更新は構成できません。「Next」を選択して続行します。
    14. 情報が正しいことを確認し、「証明書の作成」を選択します。

  • oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-caコマンドおよび必須パラメータを使用して、外部的に管理する予定の秘密キーを持つ証明書を作成します:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id <compartment_OCID> --issuer-certificate-authority-id <issuing_CA_OCID> --name <certificate_name> --csr-pem <certificate_signing_request_file>

    例:

    oci certs-mgmt certificate create-certificate-managed-externally-issued-by-internal-ca --compartment-id ocid1.compartment.oc1..<unique_id> --issuer-certificate-authority-id ocid1.certificateauthority.oc1.<region>.<unique_id> --name externalCert --csr-pem file://path/to/externalcert.pem

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  • CreateCertificate操作を実行して、外部で管理する予定の証明書を作成します。