Uma Autoridade de Certificação (CA) é uma organização que emite certificados digitais. O ISO X.509 é o padrão para o tipo mais comum de certificado digital comercial. A CA emite certificados digitais assinados para afirmar a identidade do titular do certificado e vincular essa identidade à chave pública no certificado. Uma CA também normalmente gerencia certificados.
Os certificados SSL/TLS permitem que os navegadores Web identifiquem e estabeleçam conexões de rede criptografadas com sites usando o protocolo Secure Sockets Layer/Transport Layer Security (SSL/TLS). Os certificados são usados em um sistema criptográfico conhecido como infraestrutura de chave pública (PKI). A PKI de um certificado permite que uma parte estabeleça a identidade de outra parte usando certificados e confiando em um terceiro conhecido como CA.
Uma CA geralmente existe em uma estrutura hierárquica que contém várias CAs subordinadas com relacionamentos pai-filho claramente definidos. As CAs pai certificam CAs filho ou subordinado que criam uma cadeia de certificados. A CA raiz fica na parte superior da cadeia e geralmente é autoassinada.
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são protocolos criptográficos que fornecem segurança de comunicação em uma rede de computadores. TLS é o sucessor do SSL, ambos usando certificados X.509 para autenticar o servidor. Ambos os protocolos negociam uma chave simétrica entre o cliente e o servidor que é usado para criptografar o fluxo de dados entre as duas entidades.
HTTPS significa HTTP sobre SSL/TLS, uma forma segura de HTTP suportada por todos os principais navegadores e servidores. Todas as solicitações e respostas HTTP são criptografadas antes de serem enviadas por uma rede. O HTTPS combina o protocolo HTTP com técnicas criptográficas simétricas, assimétricas e baseadas em certificado X.509. O HTTPS insere uma camada de segurança criptográfica abaixo da camada de aplicativo HTTP e acima da camada de transporte TCP no modelo de Interconexão de Sistemas Abertos (OSI). Essa camada de segurança usa o protocolo SSL (Secure Sockets Layer) ou o protocolo TLS (Transport Layer Security).
Transações HTTPS requerem certificados de servidor para autenticar um servidor. Um certificado de servidor é uma estrutura de dados X.509 v3 que vincula a chave pública no certificado ao assunto do certificado. Um certificado SSL/TLS é assinado por uma CA e contém o nome do servidor, o período de validade, a chave pública, o algoritmo de assinatura e muito mais.
O OCI Certificates cria automaticamente um certificado e o implanta em recursos (como um balanceador de carga) e renova o certificado antes que ele expire. O OCI Certificates elimina a necessidade de um processo manual de gerenciamento de certificados.
Os Certificados do OCI criam um certificado privado para as atribuições de Cliente/Servidor, Cliente, Servidor ou Assinatura de Código. Qualquer certificado público ou privado pode ser carregado no Gerenciador de Certificados.
Se você estiver designando um certificado ao Balanceador de Carga, os Certificados do OCI alertarão o serviço para o qual um certificado está pronto para ser instalado. O Balanceador de Carga recuperará o certificado dos Certificados do OCI, instalará o certificado e aplicará as alterações. Os Certificados do OCI monitorarão e renovarão o certificado com base nas regras de renovação definidas pela CA. Quando é hora de renovação, o processo se repete.
A criação de CAs e certificados folha é um serviço gratuito no OCI.
O Balanceador de Carga e o Gateway de API são os primeiros serviços integrados ao serviço de Certificados do OCI.
Se você for um cliente de nível gratuito, poderá criar até cinco CAs. As tenancies pagas podem criar até 100 CAs.
Se você for um cliente de camada gratuita, poderá criar até 150 certificados. As tenancies pagas podem criar até 5.000 certificados em sua tenancy.
Um bundle de CAs é um arquivo que contém certificados raiz e intermediários. O certificado de entidade final junto com um bundle de CAs constitui a cadeia de certificados.
Há três formas diferentes de gerenciar seus certificados.
Para a CA, você não pode fazer download da chave privada porque ela está armazenada no HSM (Hardware Security Module). Para um certificado folha e para fins de segurança, a chave privada só está disponível para download via API e CLI.