Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@tokidesu(tokitoki)

【新機能】OCI 証明書サービスを試してみる

Last updated at Posted at 2021-11-16

2021/10/27、OCIの証明書サービス機能リリースのニュースが走りました。
AWSでは証明書サービス(ACM)があるのに、OCIでは証明書を外部発行しなくてはいけないのはもやもやポイントでしたので、個人的には嬉しいリリースです。
本記事ではサービス概要と、使い方を簡単に紹介します。
https://docs.oracle.com/en-us/iaas/releasenotes/changes/d4780264-da69-4ee6-9a9e-806562dbe0c6

証明書のサービス概要

まずは証明書のサービス概要について紹介します。
本サービスは今までOCIのサービス範囲外で実施していた、「証明書」、「認証局」に関する
「作成」と「運用/管理」のマネジメントサービスとなります。(CAバンドルも同様に作成/運用が可能)
また、CloudGurdやFLB等の他OCIサービスと連携しての利用も可能です。

Certificates比較.PNG

 

証明書の作成手順

せっかくなので、Certificatesを利用してゼロから証明書を発行してみます。
発行手順ですが大まかに以下の流れとなります。

  1. IAMリソースの作成
  2. Voults作成→HSM作成(RSA!)
  3. ルートCA作成 有効期間前にしない。削除の構成の内容を要確認
  4. 証明書を作成

各内容についてちょっとだけ詳しくご紹介します。

###1. 【事前準備】IAMリソースの作成
証明局を新規で作成するためには、作成する認証局がボールト(Vaults)キーを利用して
Object Strageを操作ができる必要があります。
(筆者は最初、この手順を忘れて権限エラーとなりました。)
この要件を満たすためには、以下タスク実施する必要があります。【参考】公式マニュアル

  1. 証明書関連サービスを対象とする動的グループの作成
  2. ValutsおよびObjectStrageの利用許可するポリシーの作成

1. 証明書関連サービスを対象とする動的グループの作成
1. アイデンティティとセキュリティ => 動的グループを選択
2. 動的グループの作成より、「一致ルール」で下記の通りにルールを定義

resource.type ='certificateauthority'

2. ValutsおよびObjectStrageの利用許可するポリシーの作成
1. アイデンティティとセキュリティ => ポリシーを選択
2. ポリシーの作成より、動的グループがVaults・objectstorageを操作するためのポリシーを作成
Allow dynamic-group <DG名> to use keys in compartment DEF
Allow dynamic-group <DG名> to manage objects in compartment XYZ

2. 【事前準備】Voultsの作成

証明局を作成するためには、鍵が必要となります。
このタスクを完了するためにはOCI ボールト(Voults)を構築して
ボールトで暗号化キーを作成する必要があります。

  1. アイデンティティとセキュリティ => ボールトを選択
  2. ボールとの作成より認証局を作成するコンパートメントを指定してボールトを作成
  3. ボールトを作成したら,キーの作成よりHSMキーを非対称キーで作成(HSMの非対称キー(RSA/ECDSA)のみ利用可)

3. ルートCAの作成

動的グループ、ポリシー、ボールトを作成したら、いよいよ認証局構築の準備整いました。
コンソールから作成する場合は、アイデンティティとセキュリティから認証局を選択して
画面指示に沿って進めれば迷うことはないはずです。

  1. 基本情報    : 認証局の作成よりルート証明書、認証局名を選択して「次」を選択
  2. サブジェクト情報 :任意のサブジェクト情報を入力
  3. 権威の構成    :認証局の有効期限を設定し、作成したボールト、鍵を指定
  4. ルール      :証明書の最大有効期間、下位CAの有効期間を入力
  5. 失効構成     :証明書失効リスト(CRL)を構成する場合は、保存先のObjectStrageを指定
  6. サマリー     :設定内容を確認して問題なければ作成

4.証明書の発行

プライベート認証局を作成できたので、証明書を発行します。
コンソールから作成する場合は、アイデンティティとセキュリティの証明書から「証明書の作成」を選択するか
作成済認証局から「証明書の発行」を選択することで証明書を作成できます。
今回は作成済認証局から「証明書の発行」の場合の手順を記載します。

  1. 基本情報      :証明書タイプを選択。作成したCAによって管理するか選択
  2. サブジェクト情報  :任意のサブジェクト情報を入力
  3. 証明書構成     :プロファイルタイプ/有効期限を選択。OCI管理時は証明書キーペア情報を入力
  4. ルール       :更新間隔と拡張更新期間(有効期限が切れる何日前に更新可能か)を設定
  5. サマリー     :設定内容を確認して問題なければ作成。証明書発行

おわりに

今回は、念願の証明書サービスがリリースされたということで
サービスの超概要と、使い方をご紹介させていただきました。
OCIの独自サービス強化/追加も嬉しいですが、証明書等一般クラウドとして求められるサービスの充実もまた嬉しいですね。
新機能やOCI独自機能についても、また記事書いていきたいと思います。

3
0
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?