Eine Certificate Authority (CA) ist eine Organisation, die digitale Zertifikate ausstellt. ISO X.509 ist der Standard für den gängigsten Typ des kommerziellen digitalen Zertifikats. Die CA stellt signierte digitale Zertifikate aus, um die Identität des Zertifikatsinhabers zu bestätigen und diese Identität mit dem öffentlichen Schlüssel im Zertifikat zu verbinden. Eine CA verwaltet in der Regel auch Zertifikate.
Mit SSL/TLS-Zertifikaten können Webbrowser verschlüsselte Netzwerkverbindungen zu Websites mit dem Secure Sockets Layer/Transport Layer Security-(SSL/TLS-)Protokoll identifizieren und herstellen. Zertifikate werden in einem kryptografischen System verwendet, das als Public Key Infrastructure (PKI) bezeichnet wird. Die PKI eines Zertifikats ermöglicht es einer Partei, die Identität einer anderen Partei mit Zertifikaten zu identifizieren und einem Dritten zu vertrauen, der als CA bezeichnet wird.
Eine CA ist in der Regel in einer hierarchischen Struktur vorhanden, die mehrere untergeordnete CAs mit klar definierten hierarchischen Beziehungen enthält. Übergeordnete CAs zertifizieren untergeordnete oder untergeordnete CAs, die eine Zertifikatskette erstellen. Die Root-CA befindet sich oben in der Kette und ist in der Regel selbstsigniert.
Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind kryptografische Protokolle, die Kommunikationssicherheit über ein Computernetzwerk gewährleisten. TLS ist der Nachfolger von SSL. Beide verwenden X.509-Zertifikate zur Authentifizierung des Servers. Beide Protokolle verhandeln einen symmetrischen Schlüssel zwischen Client und Server, mit dem Daten verschlüsselt werden, die zwischen den beiden Entitys fließen.
HTTPS steht für HTTP über SSL/TLS, eine sichere Form von HTTP, die von allen gängigen Browsern und Servern unterstützt wird. Alle HTTP-Anforderungen und -Antworten werden verschlüsselt, bevor sie über ein Netzwerk gesendet werden. HTTPS kombiniert das HTTP-Protokoll mit symmetrischen, asymmetrischen und X.509-zertifikatbasierten kryptografischen Techniken. HTTPS fügt eine kryptografische Sicherheitsschicht unter der HTTP-Anwendungsschicht und über der TCP-Transportschicht in das OSI-(Open Systems Interconnection-)Modell ein. Diese Sicherheitsschicht verwendet das Secure Sockets Layer (SSL) oder das TLS-Protokoll (Transport Layer Security).
HTTPS-Transaktionen erfordern Serverzertifikate zur Authentifizierung eines Servers. Ein Serverzertifikat ist eine X.509 v3-Datenstruktur, die den Public Key im Zertifikat an den Inhaber des Zertifikats bindet. Ein SSL/TLS-Zertifikat wird von einer CA signiert und enthält den Namen des Servers, den Gültigkeitszeitraum, den öffentlichen Schlüssel, den Signaturalgorithmus und mehr.
OCI Certificates erstellt automatisch ein Zertifikat und stellt es für Ressourcen (z.B. einen Load Balancer) bereit und erneuert das Zertifikat, bevor es abläuft. Mit OCI Certificates ist kein manueller Zertifikatverwaltungsprozess erforderlich.
OCI Certificates erstellt ein privates Zertifikat für die Rollen Client/Server, Client, Server oder Code-Signatur. Jedes öffentliche oder private Zertifikat kann in den Certificate Manager hochgeladen werden.
Wenn Sie dem Load Balancer ein Zertifikat zuweisen, benachrichtigt OCI Certificates den Service, dass ein Zertifikat installiert werden kann. Der Load Balancer ruft das Zertifikat aus OCI Certificates ab, installiert das Zertifikat und wendet die Änderungen an. OCI Certificates überwacht und erneuert das Zertifikat basierend auf den von der CA definierten Erneuerungsregeln. Wenn eine Erneuerung erforderlich ist, wird der Prozess wiederholt.
Die Erstellung von CAs und Blattzertifikaten ist ein kostenloser Service in OCI.
Der Load Balancer und das API-Gateway sind die ersten Services, die in den OCI Certificates integriert sind.
Wenn Sie ein Free Tier-Kunde sind, können Sie bis zu fünf CAs erstellen. Bezahlte Mandanten können bis zu 100 CAs erstellen.
Als Kunde der kostenlosen Version können Sie bis zu 150 Zertifikate erstellen. Bezahlte Mandanten können bis zu 5.000 Zertifikate in ihrem Mandanten erstellen.
Ein CA-Bundle ist eine Datei, die Root- und Zwischenzertifikate enthält. Das Endentityzertifikat zusammen mit einem CA-Bundle stellt die Zertifikatskette dar.
Es gibt drei verschiedene Möglichkeiten, Ihre Zertifikate zu verwalten.
Für die CA können Sie den Private Key nicht herunterladen, da er im Hardware Security Module (HSM) gespeichert ist. Für ein Blattzertifikat und aus Sicherheitsgründen kann der Private Key nur über die API und CLI heruntergeladen werden.