证书颁发机构 (Certificate Authority,CA) 是颁发数字证书的组织。ISO X.509 是最常见的商业数字证书类型的标准。CA 颁发签名的数字证书以确认证书主题的身份,并将该身份绑定到证书中的公共密钥。CA 通常也管理证书。
SSL/TLS 证书允许 Web 浏览器使用安全套接字层/传输层安全 (Secure Sockets Layer/Transport Layer Security,SSL/TLS) 协议标识和建立与网站的加密网络连接。证书在称为公钥基础结构 (public key infrastructure,PKI) 的加密系统中使用。证书的 PKI 允许一方使用证书建立另一方的身份,并信任称为 CA 的第三方。
一个 CA 通常存在于包含多个具有明确定义的父子关系的从属 CA 的层次结构中。父 CA 证明创建证书链的子 CA 或从属 CA。根 CA 位于链顶部,通常为自签名。
安全套接字层 (Secure Sockets Layer,SSL) 和传输层安全 (Transport Layer Security,TLS) 是通过计算机网络提供通信安全的加密协议。TLS 是 SSL 的继承者,两者都使用 X.509 证书验证服务器。两个协议在客户机和服务器之间协商一个对称密钥,该密钥用于加密这两个实体之间的数据流。
HTTPS 代表 HTTP over SSL/TLS,这是所有主要浏览器和服务器支持的 HTTP 安全形式。所有 HTTP 请求和响应在通过网络发送之前进行加密。HTTPS 将 HTTP 协议与基于对称、非对称和 X.509 证书的加密技术相结合。HTTPS 在开放系统互连 (Open Systems Interconnection,OSI) 模型中,将加密安全层插入 HTTP 应用层下方和 TCP 传输层上方。此安全层使用安全套接字层 (Secure Sockets Layer,SSL) 或传输层安全 (Transport Layer Security,TLS) 协议。
HTTPS 事务处理需要服务器证书来验证服务器。服务器证书是将证书中的公共密钥绑定到证书主题的 X.509 v3 数据结构。SSL/TLS 证书由 CA 签名,包含服务器的名称、有效期、公钥、签名算法等。
OCI 证书会自动创建证书并将其部署到资源(例如负载平衡器),并在证书到期之前续订证书。OCI 证书无需手动进行证书管理流程。
OCI 证书为客户端/服务器、客户端、服务器或代码签名角色创建专用证书。任何公共或专用证书都可以上载到证书管理器。
如果您要为负载平衡器分配证书,OCI 证书会向服务发出预警,提示您已准备好安装证书。负载平衡器将从 OCI 证书检索证书、安装证书并应用更改。OCI 证书将根据 CA 定义的续订规则来监视和续订证书。当需要续订时,流程会重复。
创建 CA 和叶证书是 OCI 中的免费服务。
负载平衡器和 API 网关是与 OCI 证书服务集成的第一个服务。
如果您是免费级别的客户,则最多可以创建五个 CA。付费租户最多可创建 100 个 CA。
如果您是自由级别的客户,最多可以创建 150 个证书。付费租户在其租户中至多可以创建 5,000 个证书。
CA 包是包含根证书和中间证书的文件。终端实体证书以及 CA 包构成证书链。
管理证书有三种不同的方式。
对于 CA,您无法下载私钥,因为它存储在硬件安全模块 (Hardware Security Module,HSM) 中。对于叶证书,出于安全目的,私钥只能通过 API 和 CLI 下载。
注:为免疑义,本网页所用以下术语专指以下含义: