Oracle Cloud Infrastructure Certificates 常見問題

SSL/TLS 憑證可讓 Web 瀏覽器使用安全通訊端層 / 傳輸層安全 (SSL/TLS) 協定，識別並建立與網站的加密網路連線。憑證是在稱為公用金鑰基礎架構 (PKI) 的加密系統內使用。憑證的 PKI 允許某一方使用憑證建立另一方的身分，並信任另一方稱為 CA。

CA 通常存在於包含多個具有清楚定義父系關係之從屬 CA 的階層結構內。父項 CA 會認證建立憑證鏈的子項或從屬 CA。根 CA 位於鏈結的頂端，通常為自行簽署。

安全通訊端層 (SSL) 與傳輸層安全 (TLS) 是透過電腦網路提供通訊安全的加密協定。TLS 是 SSL 的後續作業，兩者皆使用 X.509 憑證來認證伺服器。這兩種協定都會在從屬端與伺服器之間協商對稱金鑰，此伺服器是用來加密兩個實體之間流動的資料。

HTTPS 代表 HTTP over SSL/TLS，這是所有主要瀏覽器和伺服器支援的安全 HTTP 格式。所有 HTTP 要求和回應在透過網路傳送之前都會先加密。HTTPS 將 HTTP 協定與對稱式、非對稱式和 X.509 憑證型加密技術結合。HTTPS 會在 HTTP 應用程式層下方插入加密安全層，並在 Open Systems Interconnect (OSI) 模型中的 TCP 傳輸層上方插入加密安全層。此安全層使用「安全通訊端層 (SSL)」或「傳輸層安全 (TLS)」協定。

HTTPS 異動需要伺服器憑證才能驗證伺服器。伺服器憑證是 X.509 v3 資料結構，可將憑證中的公開金鑰連結至憑證主體。SSL/TLS 憑證是由 CA 簽署，其中包含伺服器名稱、有效期間、公用金鑰、簽章演算法等等。

OCI 憑證會自動建立一個憑證並將其部署到資源 (例如負載平衡器)，並在憑證到期前更新憑證。OCI 憑證不需要手動進行憑證管理處理作業。

OCI 憑證會為從屬端 / 伺服器、從屬端、伺服器或程式碼簽署的角色建立專用憑證。任何公用或專用憑證都可以上傳到「憑證管理程式」。

如果您要將憑證指定給負載平衡器，OCI 憑證會發出通知，告知服務已準備好安裝憑證。負載平衡器將會從 OCI 憑證擷取憑證、安裝憑證，以及套用變更。OCI 憑證將會根據 CA 所定義的更新規則監督並更新憑證。當續約時間時，處理程序會重複執行。

建立 CA 和分支憑證是 OCI 中的免費服務。

負載平衡器和 API 閘道是第一個與 OCI 憑證服務整合的服務。

如果您是免費層客戶，您最多可以建立五個 CA。付費租用戶最多可以建立 100 個 CA。

如果您是免費層客戶，則最多可以建立 150 個憑證。付費租用戶最多可以在其租用戶中建立 5,000 個憑證。

CA 組合是包含根憑證與中介憑證的檔案。終端實體憑證以及 CA 組合構成憑證鏈。

有三種不同的方式可管理您的憑證。

1. 1.內部管理 - 這是 OCI Certificates 可建立、部署、監控和更新憑證的完全自動化系統。
2. 2.外部管理 - 如果您的原則要在您的網站上使用私密金鑰，可以將憑證簽署要求 (CSR) 上傳至將簽署憑證的 OCI 憑證。
3. 3.自備憑證 - 如果您已經有憑證，可以將它上傳到 OCI 憑證，然後為您部署和監控憑證。您將會在續約憑證時收到警示。

由於私密金鑰儲存在「硬體安全模組 (HSM)」中，因此無法為 CA 下載該私密金鑰。為了分支終端憑證及安全考量，私密金鑰只能透過 API 和 CLI 下載。