IBM Cloud Docs
Creazione di autorità di certificazione intermedie

Creazione di autorità di certificazione intermedie

Una CA (Certificate Authority) intermedia è una CA (Certificate Authority) di livello inferiore che può firmare ed emettere certificati per un'entità finale, ad esempio un'applicazione o un sito Web. In IBM Cloud® Secrets Manager, puoi utilizzare una CA intermedia per creare certificati privati.

Se hai già creato una CA principale nell'istanza Secrets Manager, ad esempio una CA root o una CA intermedia, puoi utilizzarla per firmare ed emettere una CA intermedia. Se hai creato la CA principale altrove all'esterno di Secrets Manager, puoi anche utilizzare tale CA per firmare una CA intermedia.

È possibile creare fino a 10 autorità di certificazione intermedie per istanza. Per visualizzare un elenco delle configurazioni disponibili per la tua istanza, vai alla pagina Secrets engines> Certificati privati nell'IU Secrets Manager.

Prima di iniziare

Prima di iniziare, assicurati di disporre del livello di accesso richiesto. Per gestire le configurazioni del motore per la tua istanza, hai bisogno del ruolo del servizio Gestore o superiore.

Metodi di firma supportati

Il servizio offre due opzioni:

Opzioni per la creazione di una CA intermedia
Opzioni di firma Quando utilizzare
Firmato internamente Stai creando una catena di certificati che utilizza una CA parent esistente, ad esempio una CA root o un'altra CA intermedia, come suo ancoraggio di trust. La CA parent è stata precedentemente creata nella stessa istanza Secrets Manager.
Firmato esternamente Se hai creato una CA parent offline o in un'altra istanza del servizio Secrets Manager, puoi utilizzare la CA esterna per firmare ed emettere un'autorità di certificazione intermedia.

Azioni di configurazione non supportate in Terraform

Le seguenti azioni non sono supportate.

  • Ruota CRL
  • Revoca AC

Creazione di una CA intermedia con firma interna nell'IU

Una CA intermedia con la firma interna utilizza una CA parent che è stata precedentemente creata nella tua istanza Secrets Manager come suo ancoraggio di trust. Puoi creare una CA intermedia con la firma interna utilizzando l'IU Secrets Manager.

  1. Nella console, fare clic sull'icona Menu icona Menu > Elenco risorse.

  2. Dall'elenco di servizi, seleziona la tua istanza Secrets Manager.

  3. Nella pagina Secrets engines, fare clic sulla scheda Certificati privati.

  4. Nella tabella Autorità di certificazione, fare clic su Crea autorità di certificazione per avviare la creazione guidata.

  5. Specificare il tipo di autorità di certificazione e le opzioni.

    1. Selezionare Autorità di certificazione intermedia come tipo di autorità.
    2. Selezionare Firma interna. Dall'elenco delle AC configurate, scegliere l'AC che si desidera utilizzare come emittente del certificato AC intermedio.
    3. Immettere un nome per identificare facilmente l'autorità di certificazione.
    4. Selezionare un TTL (time - to - live) massimo per il certificato da generare per questa CA. Il TTL determina per quanto tempo il certificato CA rimane valido.
    5. Selezionare il numero massimo di certificati di entità finale che possono esistere nella catena.
    6. Per codificare il certificato CA di emissione URL in certificati di entità finale, impostare l'opzione Encode URL su Enabled.

  6. Immettere i campi del nome oggetto per il certificato CA root.

  7. Selezionare il servizio Gestione chiavi. Scegliere il servizio Secrets Manager per creare le chiavi dell'autorità del certificato radice internamente al servizio, oppure scegliere Hyper Protect Crypto Services (HPCS). Se si seleziona HPCS, eseguire le seguenti operazioni:

    1. Selezionare l'istanza HPCS dall'elenco a discesa delle istanze o inserire manualmente il CRN dell'istanza HPCS

    2. Selezionare il segreto delle credenziali IAM creato in precedenza per l'autenticazione con HPCS.

      Una volta che la credenziale IAM è stata impostata nella configurazione della CA, non può essere sostituita in seguito.

    3. Selezionare il keystore privato HPCS dall'elenco a discesa keystores, oppure inserire manualmente l'ID del keystore.

    4. Scegliere se utilizzare le chiavi esistenti o generare nuove chiavi. Se si seleziona una chiave privata HPCS esistente o si inserisce manualmente l'ID di una chiave privata, assicurarsi che esista una chiave pubblica con lo stesso ID della chiave privata nel keystore privato.

      Se si sceglie di generare nuove chiavi, queste non saranno cancellate da Secrets Manager nel caso in cui la configurazione venga cancellata.

  8. Selezionare l'algoritmo chiave che si desidera utilizzare per creare la chiave pubblica e privata per il certificato CA.

  9. Determinare se abilitare la creazione di CRL (Certificate Revocation List) e i punti di distribuzione per il certificato CA.

    Un CRL è un elenco di certificati revocati dall'autorità di certificazione emittente prima della data di scadenza pianificata. Un certificato elencato come parte di un CRL non può più essere considerato attendibile dalle applicazioni.

    1. Per creare un CRL per la tua CA intermedia con ogni richiesta di certificato, imposta l'opzione CRL building su Enabled.
    2. Per codificare l' URL e dell'elenco di revoca nel certificato CA intermedio, impostare l'opzione Punti di distribuzione CRL su Abilitato.
    3. Selezionare un TTL (time - to - live) del CRL generato. Il TTL determina per quanto tempo il CRL rimane valido.

  10. Rivedere le selezioni. Per creare la CA intermedia, fare clic su Crea.

Puoi ora selezionare questa CA intermedia per creare un certificato privato. Per modificare o rimuovere una configurazione esistente, fare clic sul menu Azioni icona Azioni nella riga dell'autorità di certificazione che si desidera aggiornare.

Creazione di una CA intermedia con firma interna con l'API

Una CA intermedia con la firma interna utilizza una CA parent che è stata precedentemente creata nella tua istanza Secrets Manager come suo ancoraggio di trust. Puoi creare una CA intermedia con la firma interna utilizzando l'API Secrets Manager.

Passo 1: crea una CA intermedia con la firma interna

Il seguente esempio mostra una query che puoi usare per creare una CA intermedia con firma interna. Nel corpo della richiesta, impostare il valore dell'attributo signing_method su internal. Utilizzare l'attributo issuer per specificare l'autorità di certificazione principale.

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d '{
  "config_type": "private_cert_configuration_intermediate_ca",
  "name": "example-intermediate-CA",
  "common_name": "example.com",
  "crl_disable": false,
  "crl_distribution_points_encoded": true,
  "crl_expiry": "72h",
  "issuer": "example-root-CA",
  "issuing_certificates_urls_encoded": true,
  "max_ttl": "26300h",
  "signing_method": "internal"
}' \  
  "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"

Se si porta il proprio HSM, includere quanto segue nella richiesta:

"crypto_key": {
    "label": "my_key",
    "allow_generate_key": true,
    "provider": {
      "type": "hyper_protect_crypto_services",
      "instance_crn": "replace_with_hpcs_crn::",
      "pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
      "private_keystore_id": "replace_with_keystore_id"
    }
  }

Passo 2: Firma la CA intermedia

Il seguente esempio mostra una query che puoi utilizzare per firmare la CA intermedia che hai creato nel passo 1.

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d -d '{
  "action_type": "private_cert_configuration_action_sign_intermediate",
  "intermediate_certificate_authority": "example-intermediate-CA"
}' \  
  "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-root-CA/actions"

Creazione di una CA intermedia con firma esterna nella IU

Una CA intermedia con firma esterna utilizza una CA principale da un sistema PKI esterno o anche un'altra istanza Secrets Manager, come suo ancoraggio di trust. La CA principale può essere una CA root o una CA intermedia.

Passo 1: crea una CA intermedia e firma la richiesta

Puoi creare un certificato CA intermedio che utilizza la firma esterna nell'IU Secrets Manager.

  1. Nella console, fare clic sull'icona Menu icona Menu > Elenco risorse.

  2. Dall'elenco di servizi, seleziona la tua istanza Secrets Manager.

  3. Nella pagina Secrets engines, fare clic sulla scheda Certificati privati.

  4. Nella tabella Autorità di certificazione, fare clic su Crea autorità di certificazione per avviare la creazione guidata.

  5. Specificare il tipo di autorità di certificazione e le opzioni.

    1. Selezionare Autorità di certificazione intermedia come tipo di autorità.
    2. Selezionare Firma esterna.
    3. Immettere un nome per identificare facilmente l'autorità di certificazione.
    4. Selezionare un TTL (time - to - live) massimo per il certificato da generare per questa CA. Il TTL determina per quanto tempo il certificato CA rimane valido.
    5. Per codificare il certificato CA di emissione URL in certificati di entità finale, impostare l'opzione Encode URL su Enabled.

  6. Immettere i campi del nome oggetto per il certificato CA intermedio.

  7. Selezionare il servizio Gestione chiavi. Scegliere il servizio Secrets Manager per creare le chiavi dell'autorità del certificato radice internamente al servizio, oppure scegliere Hyper Protect Crypto Services (HPCS). Se si seleziona HPCS, eseguire le seguenti operazioni:

    1. Selezionare l'istanza HPCS dall'elenco a discesa delle istanze o inserire manualmente il CRN dell'istanza HPCS

    2. Selezionare il segreto delle credenziali IAM creato in precedenza per l'autenticazione con HPCS.

      Una volta che la credenziale IAM è stata impostata nella configurazione della CA, non può essere sostituita in seguito.

    3. Selezionare il keystore privato HPCS dall'elenco a discesa keystores, oppure inserire manualmente l'ID del keystore.

    4. Scegliere se utilizzare le chiavi esistenti o generare nuove chiavi. Se si seleziona una chiave privata HPCS esistente o si inserisce manualmente l'ID di una chiave privata, assicurarsi che esista una chiave pubblica con lo stesso ID della chiave privata nel keystore privato.

      Se si sceglie di generare nuove chiavi, queste non saranno cancellate da Secrets Manager nel caso in cui la configurazione venga cancellata.

  8. Selezionare l'algoritmo chiave che si desidera utilizzare per creare la chiave pubblica e privata per il certificato CA.

  9. Determinare se abilitare la creazione di CRL (Certificate Revocation List) e i punti di distribuzione per il certificato CA.

    Un CRL è un elenco di certificati che sono stati revocati dall'autorità di certificazione emittente prima della data di scadenza pianificata. Un certificato elencato come parte di un CRL non può più essere considerato attendibile dalle applicazioni.

    1. Per creare un CRL per la tua CA intermedia con ogni richiesta di certificato, imposta l'opzione CRL building su Enabled.
    2. Per codificare l' URL e dell'elenco di revoca nel certificato CA intermedio, impostare l'opzione Punti di distribuzione CRL su Abilitato.
    3. Selezionare un TTL (time - to - live) del CRL generato. Il TTL determina per quanto tempo il CRL rimane valido.

  10. Rivedere le selezioni. Per creare la CA intermedia, fare clic su Crea.

La CA intermedia viene aggiunta al tuo elenco di configurazioni per la tua istanza con uno stato Firma richiesta. Prima di poter utilizzare questa CA intermedia per emettere certificati privati, è necessario firmarla utilizzando il certificato CA principale creato nel sistema PKI esterno.

Passo 2: Firma una CA intermedia con una CA esterna

Quando crei una CA intermedia in Secrets Manager che vuoi firmare utilizzando una CA esterna, viene generata una CSR(certificate signing request)Un messaggio elettronico inviato da un'organizzazione a un'autorità di certificazione (CA) per ottenere un certificato. La richiesta include una chiave pubblica ed è firmata con una chiave privata; la CA restituisce un certificato dopo averlo firmato con la propria chiave privata.. Puoi utilizzare la CSR per firmare ed emettere il certificato CA intermedio.

  1. Nella IU di Secrets Manager, vai a Secrets engines> Certificati privati.

  2. Nella riga della CA intermedia che vuoi firmare, fai clic sul menu Azioni Icona Azioni > Firma certificato.

  3. Copiare o scaricare la CSR.

  4. Utilizzare la CSR per firmare il certificato CA intermedio.

    Puoi scegliere tra vari strumenti, come openssl, per firmare un file CSR. Ad esempio, il seguente comando openssl prende un file CSR che hai scaricato da Secrets Manager e utilizza un file CA con codifica PEM e la relativa chiave privata associata per emettere un certificato CA firmato.

    openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>

    Il comando emette un file di certificato CA intermedio firmato che puoi importare nella tua istanza Secrets Manager per completare il processo di firma.

Passo 3: importa una CA intermedia firmata nella tua istanza

Dopo aver firmato un certificato CA intermedio utilizzando una CA principale esterna, puoi importarlo nella tua istanza utilizzando l'IU Secrets Manager.

  1. Nella IU di Secrets Manager, vai a Secrets engines> Certificati privati.

  2. Nella riga della CA intermedia che hai firmato, fai clic sul menu Azioni icona Azioni > Firma certificato.

  3. Selezionare o immettere il file del certificato CA intermedio firmato firmato nel passo precedente.

  4. Fare clic su Firma per completare il processo di firma esterna.

    La CA intermedia firmata viene aggiunta all'elenco di configurazioni per la tua istanza con uno stato Attivo. Puoi ora utilizzare questa CA intermedia per creare certificati privati per le tue applicazioni. Per modificare o rimuovere una configurazione esistente, fare clic sul menu Azioni icona Azioni nella riga dell'autorità di certificazione che si desidera aggiornare.

Creazione di una CA intermedia con firma esterna con l'API

Una CA intermedia con firma esterna utilizza una CA principale da un sistema PKI esterno o anche un'altra istanza Secrets Manager, come suo ancoraggio di trust. La CA principale può essere una CA root o una CA intermedia. Puoi creare una CA intermedia con la firma esterna utilizzando l'API Secrets Manager.

Passo 1: crea una CA intermedia e firma la richiesta

Il seguente esempio mostra una query che puoi utilizzare per creare una CA intermedia con firma esterna. Nel corpo della richiesta, impostare il valore dell'attributo signing_method su external.

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d '{
  "config_type": "private_cert_configuration_intermediate_ca",
  "name": "example-intermediate-CA",
  "common_name": "example.com",
  "crl_disable": false,
  "crl_distribution_points_encoded": true,
  "crl_expiry": "72h",
  "issuer": "example-root-CA",
  "issuing_certificates_urls_encoded": true,
  "max_ttl": "26300h",
  "signing_method": "external"
}' \  
  "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"

Se si porta il proprio HSM, includere quanto segue nella richiesta:

"crypto_key": {
    "label": "my_key",
    "allow_generate_key": true,
    "provider": {
      "type": "hyper_protect_crypto_services",
      "instance_crn": "replace_with_hpcs_crn::",
      "pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
      "private_keystore_id": "replace_with_keystore_id"
    }
  }

Copiare il CSR dai dati JSON della risposta. Il valore CSR è nidificato all'interno del valore dell'attributo data della risposta. Puoi anche utilizzare l'API get configuration per ottenere il CSR dai dati della CA intermedia appena creata.

Passo 2: Firma una CA intermedia con una CA esterna

Utilizzare il CSR copiato nel passo 1 per firmare il certificato CA intermedio. Inserire il CSR in un file da utilizzare per la firma.

Puoi scegliere tra vari strumenti, come openssl, per firmare un file CSR. Ad esempio, il seguente comando openssl utilizza un file CSR e un file CA codificato PEM e la chiave privata associata per emettere un certificato CA firmato.

openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>

Il comando emette un file del certificato firmato che è possibile importare nella configurazione CA intermedia per completare il processo di firma.

Se la CA principale è una CA root o una CA intermedia da un'altra istanza Secrets Manager, puoi firmare la CSR utilizzando l'azione sign-csr. Il seguente esempio mostra una query che puoi utilizzare per firmare il CSR.

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d '{
  "action_type": "private_cert_configuration_action_sign_csr",
  "csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICiDCCAXACAQAwGDEWMBQGA1UEAxMNct5ANo8jybxCwNjHOA==\n-----END CERTIFICATE REQUEST-----"
}' \  
  "https://{other_instance_ID}.{other_instance_region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-intermediate-CA/actions"

Copiare il valore del campo certificate dalla risposta per utilizzarlo nel passo successivo.

Passo 3: importa una CA intermedia firmata nella configurazione della CA intermedia

Dopo aver firmato un certificato CA intermedio utilizzando una CA principale esterna, puoi importarlo nella configurazione della CA intermedia utilizzando l'azione set-signed. L'esempio seguente mostra una query che è possibile utilizzare per importare il certificato firmato esternamente.

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d '{
  "action_type": "private_cert_configuration_action_set_signed",
  "certificate": "-----BEGIN CERTIFICATE-----\nMIIGRjCCBS6gAwIBAgIUSKW6zI+E9JU4bva\n-----END CERTIFICATE-----"
}' \  
  "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-intermediate-CA/actions"

Creazione di una CA intermedia con firma interna dalla CLI

Una CA intermedia con la firma interna utilizza una CA parent che è stata precedentemente creata nella tua istanza Secrets Manager come suo ancoraggio di trust. Puoi creare una CA intermedia con la firma interna utilizzando la CLI Secrets Manager.

Passo 1: crea una CA intermedia con la firma interna

Per creare una CA intermedia con la firma interna, eseguire il comando ibmcloud secrets-manager configuration-create. Nel prototipo di configurazione, impostare il valore dell'attributo signing_method su internal. Utilizzare l'attributo issuer per specificare l'autorità di certificazione principale. Ad esempio, il seguente comando crea una CA intermedia con firma interna.

ibmcloud secrets-manager configuration-create
   --configuration-prototype='{
      "config_type": "private_cert_configuration_intermediate_ca",
      "name": "example-intermediate-CA",
      "max_ttl": "26300h",
      "signing_method": "internal",
      "issuer": "example-root-CA",
      "crl_expiry": "72h",
      "crl_disable": false,
      "crl_distribution_points_encoded": true,
      "issuing_certificates_urls_encoded": true,
      "common_name": "example.com",
      "alt_names": [
         "alt-name-1","alt-name-2"
         ],
      "ip_sans": "127.0.0.1",
      "uri_sans": "https://www.example.com/test",
      "other_sans": ["1.2.3.5.4.3.201.10.4.3;utf8:test@example.com"],
      "format": "pem",
      "private_key_format": "der",
      "key_type": "rsa",
      "key_bits": 4096,
      "exclude_cn_from_sans": false
   }'

Se si porta il proprio HSM, includere quanto segue nella richiesta:

"crypto_key": {
    "label": "my_key",
    "allow_generate_key": true,
    "provider": {
      "type": "hyper_protect_crypto_services",
      "instance_crn": "replace_with_hpcs_crn::",
      "pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
      "private_keystore_id": "replace_with_keystore_id"
    }
  }

Passo 2: Firma la CA intermedia

Per firmare la CA intermedia dalla CLI Secrets Manager, applica l'azione sign-intermediate eseguendo il comando ibmcloud secrets-manager configuration-action-create. Inoltrare il nome dell'autorità di certificazione della firma (l'emittente) con l'opzione del comando --name.

ibmcloud secrets-manager configuration-action-create --name example-root-CA  
   --config-action-prototype='{
      "action_type": "private_cert_configuration_action_sign_intermediate",
      "intermediate_certificate_authority": "example-intermediate-CA"
   }'

Creazione di una CA intermedia con la firma esterna dalla CLI

Una CA intermedia con firma esterna utilizza una CA principale da un sistema PKI esterno o anche un'altra istanza Secrets Manager, come suo ancoraggio di trust. La CA principale può essere una CA root o una CA intermedia. Puoi creare una CA intermedia con la firma esterna utilizzando la CLI Secrets Manager.

Passo 1: crea una CA intermedia e firma la richiesta

Per creare una CA intermedia e firmare la richiesta dalla CLI Secrets Manager, esegui il comando ibmcloud secrets-manager configuration-create. Nel prototipo di configurazione, impostare il valore dell'attributo signing_method su external. Utilizzare l'opzione --output json per ottenere una risposta completa che includa il valore dell'attributo csr. Ad esempio, il seguente comando crea una CA intermedia con firma esterna.

ibmcloud secrets-manager configuration-create --output json
   --configuration-prototype='{
      "config_type": "private_cert_configuration_intermediate_ca",
      "name": "example-intermediate-CA",
      "max_ttl": "26300h",
      "signing_method": "external",
      "crl_expiry": "72h",
      "crl_disable": false,
      "crl_distribution_points_encoded": true,
      "issuing_certificates_urls_encoded": true,
      "common_name": "example.com",
      "alt_names": [
         "alt-name-1","alt-name-2"
         ],
      "ip_sans": "127.0.0.1",
      "uri_sans": "https://www.example.com/test",
      "other_sans": ["1.2.3.5.4.3.201.10.4.3;utf8:test@example.com"],
      "format": "pem",
      "private_key_format": "der",
      "key_type": "rsa",
      "key_bits": 4096,
      "exclude_cn_from_sans": false
   }'

Copiare il CSR dai dati JSON della risposta. Il valore CSR è nidificato all'interno del valore dell'attributo data della risposta. È inoltre possibile acquisire i dati della CA intermedia appena creata eseguendo il comando ibmcloud secrets-manager configuration con l'opzione --output json. Ad esempio:

ibmcloud secrets-manager configuration --name example-intermediate-CA --output json

Passo 2: Firma una CA intermedia con una CA esterna

Utilizzare il CSR copiato nel passo 1 per firmare il certificato CA intermedio. Inserire il CSR in un file da utilizzare per la firma.

Puoi scegliere tra vari strumenti, come openssl, per firmare un file CSR. Ad esempio, il seguente comando openssl utilizza un file CSR e un file CA codificato PEM e la chiave privata associata per emettere un certificato CA firmato.

openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>

Il comando emette un file del certificato firmato che è possibile importare nella configurazione CA intermedia per completare il processo di firma.

Se la CA principale è una CA root o intermedia da un'altra istanza Secrets Manager, puoi firmare la CSR applicando l'azione sign-csr. Per applicare l'azione eseguire il comando ibmcloud secrets-manager configuration-action-create. Copiare il valore del campo certificate dall'output del comando per utilizzarlo nel passo successivo. Ad esempio, se la CA principale è la CA principale con il nome example-root-CA in un'altra istanza Secrets Manager, il comando sarà il seguente.

ibmcloud secrets-manager configuration-action-create --name example-root-CA --output json  
   --config-action-prototype='{
      "action_type": "private_cert_configuration_action_sign_csr",
      "csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICiDCCAXACAQAwGDEWMBQGA1UEAxMNct5ANo8jybxCwNjHOA==\n-----END CERTIFICATE REQUEST-----"
    }'

Per l'azione sign-csr devi indicare come destinazione l'altra istanza Secrets Manager in cui risiede la CA parent. Prima di eseguire il comando, esportare la variabile di ambiente SECRETS_MANAGER_URL per specificare l'altra istanza.

Passo 3: importa una CA intermedia firmata nella configurazione della CA intermedia

Dopo aver firmato un certificato CA intermedio utilizzando una CA principale esterna, puoi importarlo nella tua configurazione CA intermedia applicando l'azione set-signed alla tua configurazione CA intermedia. Per applicare l'azione eseguire il comando ibmcloud secrets-manager configuration-action-create. Ad esempio:

ibmcloud secrets-manager configuration-action-create --name example-intermediate-CA
   --config-action-prototype='{
      "action_type": "private_cert_configuration_action_set_signed",
      "certificate": "-----BEGIN CERTIFICATE-----\nMIIGRjCCBS6gAwIBAgIUSKW6zI+E9JU4bva\n-----END CERTIFICATE-----"
    }'

Creazione di una CA intermedia con firma interna con Terraform

Una CA intermedia con la firma interna utilizza una CA parent che è stata precedentemente creata nella tua istanza Secrets Manager come suo ancoraggio di trust. Puoi creare una CA intermedia con la firma interna utilizzando Terraform per Secrets Manager.

Il seguente esempio mostra una configurazione che puoi utilizzare per creare una CA intermedia con la firma interna.

    resource "ibm_sm_private_certificate_configuration_intermediate_ca" "my_intermediate_ca" {
        instance_id = local.instance_id
        signing_method = "internal"
        name = "example-intermediate-ca"
        common_name = "example.com"
        issuer = ibm_sm_private_certificate_configuration_root_ca.my_root_ca.name
        max_ttl = "180000"
    }

Se si porta il proprio HSM, includere nella configurazione quanto segue:

crypto_key {
    label = "my_key"
    allow_generate_key = true
    provider {
      type = "hyper_protect_crypto_services"
      instance_crn = "replace_with_hpcs_crn::"
      pin_iam_credentials_secret_id = "replace_with_iam_credentials_secret_guid"
      private_keystore_id = "replace_with_keystore_id"
    }
  }

Quando si utilizza la firma interna, l'emittente definito firma automaticamente il certificato CA intermedio appena creato.

Creare una CA intermedia con firma esterna con Terraform

Una CA intermedia con firma esterna utilizza una CA principale da un sistema PKI esterno o anche un'altra istanza Secrets Manager, come suo ancoraggio di trust. La CA principale può essere una CA root o una CA intermedia. Puoi creare una CA intermedia con la firma esterna utilizzando Terraform per Secrets Manager.

Il seguente esempio mostra una configurazione che puoi utilizzare per creare una CA intermedia con firma esterna. La configurazione è composta da tre risorse. La risorsa ibm_sm_private_certificate_configuration_intermediate_ca crea la configurazione CA intermedia e la richiesta di firma del certificato. La risorsa ibm_sm_private_certificate_configuration_action_sign_csr firma il CSR con una CA root da un'altra istanza di Secrets Manager. La risorsa ibm_sm_private_certificate_configuration_action_set_signed importa il certificato firmato nella risorsa CA intermedia.

    resource "ibm_sm_private_certificate_configuration_intermediate_ca" "my_intermediate_ca" {
        instance_id = local.instance_id
        name = "example-intermediate-ca"
        signing_method = "external"
        common_name = "example.com"
        max_ttl = "180000"
    }

    resource "ibm_sm_private_certificate_configuration_action_sign_csr" "my_sign_action" {
        instance_id = local.another_instance_id
        name = ibm_sm_private_certificate_configuration_root_ca.my_root_ca.name
        csr = ibm_sm_private_certificate_configuration_intermediate_ca.my_intermediate_ca.data[0].csr
    }

    resource "ibm_sm_private_certificate_configuration_action_set_signed" "my_set_signed_action" {
        instance_id = local.instance_id
        name = ibm_sm_private_certificate_configuration_intermediate_ca.my_intermediate_ca.name
        certificate = ibm_sm_private_certificate_configuration_action_sign_csr.my_sign_action.data[0].certificate
    }

In questo esempio, utilizziamo la firma esterna perché la CA root si trova in un'altra istanza Secrets Manager. Per utilizzare una CA genitore da un sistema PKI esterno, utilizzare un altro metodo per firmare la CSR, invece della risorsa ibm_sm_private_certificate_configuration_action_sign_csr. Ad esempio, è possibile utilizzare la risorsa tls_locally_signed_cert dal fornitore tls.

Se si porta il proprio HSM, includere nella configurazione quanto segue:

crypto_key {
    label = "my_key"
    allow_generate_key = true
    provider {
      type = "hyper_protect_crypto_services"
      instance_crn = "replace_with_hpcs_crn::"
      pin_iam_credentials_secret_id = "replace_with_iam_credentials_secret_guid"
      private_keystore_id = "replace_with_keystore_id"
    }
  }

Richiamo di una CA intermedia nell'IU

Puoi richiamare il valore CA intermedio utilizzando l'IU Secrets Manager.

  1. Nel motore di segreti Certificati pubblici, fai clic sul menu Azioni icona Azioni per aprire un elenco di opzioni per la tua configurazione del motore.
  2. Per visualizzare il valore di configurazione, fare clic su Visualizza configurazione.
  3. Fare clic su Conferma dopo essersi assicurati di essere in un ambiente sicuro.

Il valore segreto viene visualizzato per 15 secondi, quindi la finestra di dialogo viene chiusa.

Richiamo di una CA intermedia utilizzando la CLI

Puoi richiamare il valore CA intermedio utilizzando la CLI Secrets Manager. Nel seguente comando di esempio, sostituire il nome della configurazione del motore con il proprio nome della configurazione.

ibmcloud secrets-manager configuration --name EXAMPLE_CONFIG --service-url https://{instance_ID}.{region}.secrets-manager.appdomain.cloud

Sostituisci {instance_ID} e {region} con i valori che si applicano alla tua istanza del servizio Secrets Manager. Per trovare l' URL e endpoint specifico per la tua istanza, puoi copiarlo dalla pagina Endpoints nell'interfaccia utente di Secrets Manager. Per ulteriori informazioni, vedi Visualizzazione degli URL degli endpoint

Richiamo di una CA intermedia utilizzando l'API

Puoi recuperare il valore CA intermedio utilizzando l'API Secrets Manager. Nella seguente richiesta di esempio, sostituire il nome di configurazione del motore con il proprio nome di configurazione.

curl -X GET --location --header "Authorization: Bearer {iam_token}" \
--header "Accept: application/json" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"

Sostituisci {instance_ID} e {region} con i valori che si applicano alla tua istanza del servizio Secrets Manager. Per trovare l' URL e endpoint specifico per la tua istanza, puoi copiarlo dalla pagina Endpoints nell'interfaccia utente di Secrets Manager. Per ulteriori informazioni, vedi Visualizzazione degli URL degli endpoint

Una risposta corretta restituisce il valore della configurazione motore, insieme ad altri metadati. Per ulteriori informazioni sui parametri di richiesta obbligatori e facoltativi, vedi Ottieni un segreto.

Passi successivi