Questions fréquemment posées sur Oracle Cloud Infrastructure Certificates

Les certificats SSL/TLS permettent aux navigateurs Web d'identifier et d'établir des connexions réseau chiffrées aux sites Web à l'aide du protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security). Les certificats sont utilisés dans un système cryptographique appelé PKI (Public Key Infrastructure). Le PKI d'un certificat permet à une partie d'établir l'identité d'une autre partie en utilisant des certificats et en faisant confiance à une tierce partie appelée CA.

Une CA existe généralement dans une structure hiérarchique qui contient plusieurs CA subordonnées avec des relations parent-enfant clairement définies. Les autorités de certification parent certifient les autorités de certification enfant ou subordonnées qui créent une chaîne de certificats. L'autorité de certification racine se trouve en haut de la chaîne et est généralement auto-signée.

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont des protocoles cryptographiques qui assurent la sécurité de la communication sur un réseau informatique. TLS est le successeur de SSL, les deux utilisant des certificats X.509 pour authentifier le serveur. Les deux protocoles négocient une clé symétrique entre le client et le serveur utilisé pour chiffrer les données circulant entre les deux entités.

HTTPS signifie HTTP sur SSL/TLS, une forme sécurisée de HTTP prise en charge par tous les principaux navigateurs et serveurs. Toutes les demandes et réponses HTTP sont cryptées avant d'être envoyées sur un réseau. HTTPS combine le protocole HTTP avec des techniques cryptographiques symétriques, asymétriques et basées sur un certificat X.509. HTTPS insère une couche de sécurité cryptographique sous la couche d'application HTTP et au-dessus de la couche de transport TCP dans le modèle OSI (Open Systems Interconnection). Cette couche de sécurité utilise le protocole SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).

Les transactions HTTPS nécessitent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique du certificat à l'objet du certificat. Un certificat SSL/TLS est signé par une autorité de certification et contient le nom du serveur, la période de validité, la clé publique, l'algorithme de signature, etc.

Les certificats OCI créent automatiquement un certificat et le déploient sur des ressources (comme un équilibreur de charge), puis renouvelent le certificat avant son expiration. Les certificats OCI éliminent le besoin d'un processus manuel de gestion des certificats.

Les certificats OCI créent un certificat privé pour les rôles de client/serveur, de client, de serveur ou de signature de code. Tout certificat public ou privé peut être téléchargé dans le gestionnaire de certificats.

Si vous affectez un certificat à l'équilibreur de charge, les certificats OCI avertissent le service qu'un certificat est prêt à être installé. L'équilibreur de charge extrait le certificat des certificats OCI, installe le certificat et applique les modifications. Les certificats OCI surveillent et renouvellent le certificat en fonction des règles de renouvellement définies par l'autorité de certification. Au moment du renouvellement, le processus se répète.

La création de certificats CA et feuille est un service gratuit dans OCI.

L'équilibreur de charge et la passerelle d'API sont les premiers services intégrés au service OCI Certificates.

Si vous êtes un client de niveau gratuit, vous pouvez créer jusqu'à cinq CA. Les locations payées peuvent créer jusqu'à 100 CA.

Si vous êtes un client de niveau gratuit, vous pouvez créer jusqu'à 150 certificats. Les locations payantes peuvent créer jusqu'à 5 000 certificats dans leur location.

Un package d'autorité de certification est un fichier contenant des certificats racine et intermédiaires. Le certificat d'entité finale ainsi qu'un groupe d'autorité de certification constituent la chaîne de certificat.

Il existe trois façons différentes de gérer vos certificats.

1. 1. Géré en interne - Il s'agit du système entièrement automatisé dans lequel OCI Certificates crée, déploie, surveille et renouvelle le certificat.
2. 2. Géré en externe - S'il s'agit de votre stratégie de disposer de la clé privée sur votre site, vous pouvez télécharger une demande de signature de certificat (CSR) vers des certificats OCI qui signeront ensuite le certificat.
3. 3. Apportez votre propre certificat - Si vous disposez déjà d'un certificat, vous pouvez le télécharger vers les certificats OCI et le déployer et le surveiller pour vous. Vous serez averti au moment de renouveler le certificat.

Pour l'autorité de certification, vous ne pouvez pas télécharger la clé privée car elle est stockée dans le module de sécurité HSM. Pour un certificat feuille et à des fins de sécurité, la clé privée n'est disponible que pour téléchargement via l'API et l'interface de ligne de commande.