建立中繼憑證管理中心
中繼憑證管理中心 (CA) 是低階憑證管理中心,可簽署憑證並向終端實體 (例如應用程式或網站) 發出憑證。 在 IBM Cloud® Secrets Manager中,您可以使用中繼 CA 來建立 專用憑證。
如果您已在 Secrets Manager 實例中建立母項 CA (例如主要 CA 或中間 CA),則可以使用它來簽署並發出中間 CA。 如果您在 Secrets Manager以外的其他位置建立母項 CA,則也可以使用該 CA 來簽署中間 CA。
每個實例最多可以建立 10 個中繼憑證管理中心。 若要檢視實例可用的配置清單,請跳至 Secrets Manager 使用者介面中的 密鑰引擎> 專用憑證 頁面。
開始之前
開始之前,請確定您具有必要的存取層次。 若要管理實例的引擎配置,您需要 管理員 服務角色或更高版本。
支援的簽署方法
該服務提供兩種選項:
| 簽署選項 | 何時使用 |
|---|---|
| 內部簽署 | 您正在建置憑證鏈,以使用現有母項 CA (例如主要 CA 或另一個中間 CA) 作為其信任錨點。 先前已在相同的 Secrets Manager 實例中建立母項 CA。 |
| 外部簽署 | 如果您已離線或在另一個 Secrets Manager 服務實例中建立母項 CA,則可以使用外部 CA 來簽署並發出中繼憑證管理中心。 |
Terraform 中不受支援的配置動作
不支援下列動作。
- 輪換 CRL
- 撤銷 CA
在使用者介面中建立具有內部簽署的中間 CA
具有內部簽署的中間 CA 會使用先前在 Secrets Manager 實例中建立的母項 CA 作為其信任錨點。 您可以使用 Secrets Manager 使用者介面來建立具有內部簽署的中間 CA。
-
在主控台中,按一下 功能表 圖示
> 資源清單。 -
從服務清單中,選取 Secrets Manager 實例。
-
在「密鑰引擎」頁面中,按一下 專用憑證 標籤。
-
在「憑證管理中心」表格中,按一下 建立憑證管理中心 以啟動建立精靈。
-
指定憑證管理中心類型及選項。
- 選取 中繼憑證管理中心 作為憑證管理中心類型。
- 選取 內部簽署。 從已配置的 CA 清單中,選擇您要用作中繼 CA 憑證發證者的 CA。
- 輸入名稱以輕鬆識別您的憑證管理中心。
- 選取要為此 CA 產生之憑證的存活時間上限 (TTL)。 TTL 會決定 CA 憑證保持有效的時間長度。
- 選取鏈中可存在的終端實體憑證數目上限。
- 若要將頒發 CA 憑證的 URL 編碼到最終實體憑證中,請將 「編碼 URL 選項設為 「已啟用」。
-
輸入主要 CA 憑證的主題名稱欄位。
-
選取金鑰管理服務。 選擇Secrets Manager用於由服務在內部建立根憑證授權單位金鑰的服務,或選擇Hyper Protect Crypto Services (HPCS)。 如果選擇 HPCS,請執行下列任務:
-
從實例下拉清單中選擇您的 HPCS 實例或手動輸入您的 HPCS 實例 CRN
-
選擇先前建立的用於透過 HPCS 進行驗證的 IAM 憑證金鑰。
一旦在 CA 配置中設定了 IAM 憑證,以後就無法取代。
-
從金鑰庫下拉清單中選擇 HPCS 私人金鑰庫,或手動輸入金鑰庫 ID。
-
選擇使用現有密鑰或產生新密鑰。 如果選擇現有 HPCS 私鑰或手動輸入私鑰 ID,請確保公鑰存在且其 ID 與私鑰庫中的私鑰相同。
如果您選擇產生新金鑰,這些金鑰將不會被刪除Secrets Manager以防配置被刪除。
-
-
選取金鑰演算法,以用來產生 CA 憑證的公開和私密金鑰。
-
決定是否啟用 CA 憑證的憑證撤銷清冊 (CRL) 建置及配送點。
CRL 是憑證管理中心在其排定到期日之前撤銷的憑證清單。 應用程式無法再信任列在 CRL 中的憑證。
- 若要針對具有每一個憑證申請的中繼 CA 建置 CRL,請將 CRL 建置 選項設為 已啟用。
- 若要在中間 CA 憑證中編碼撤銷清單的 URL,請將 CRL 分發點選項設定為啟用。
- 選取所產生 CRL 的存活時間 (TTL)。 TTL 會決定 CRL 維持有效的時間長度。
-
檢閱您的選擇。 若要建立中間 CA,請按一下 建立。
您現在可以選取此中繼 CA 來 產生專用憑證。 若要修改或移除現有配置,請在您要更新的憑證管理中心列中按一下 動作 功能表 
。
使用 API 建立內部簽署的中間 CA
具有內部簽署的中間 CA 會使用先前在 Secrets Manager 實例中建立的母項 CA 作為其信任錨點。 您可以使用 Secrets Manager API 來建立具有內部簽章的中間 CA。
步驟 1: 建立具有內部簽署的中間 CA
下列範例顯示可用來建立具有內部簽署的中間 CA 的查詢。 在要求內文中,將 signing_method 屬性的值設為 internal。 使用 issuer 屬性來指定母項憑證管理中心。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"config_type": "private_cert_configuration_intermediate_ca",
"name": "example-intermediate-CA",
"common_name": "example.com",
"crl_disable": false,
"crl_distribution_points_encoded": true,
"crl_expiry": "72h",
"issuer": "example-root-CA",
"issuing_certificates_urls_encoded": true,
"max_ttl": "26300h",
"signing_method": "internal"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"
如果您攜帶自己的 HSM,請在請求中包含以下內容:
"crypto_key": {
"label": "my_key",
"allow_generate_key": true,
"provider": {
"type": "hyper_protect_crypto_services",
"instance_crn": "replace_with_hpcs_crn::",
"pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
"private_keystore_id": "replace_with_keystore_id"
}
}
步驟 2: 簽署中間 CA
下列範例顯示一個查詢,可用來簽署您在步驟 1 中建立的中間 CA。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d -d '{
"action_type": "private_cert_configuration_action_sign_intermediate",
"intermediate_certificate_authority": "example-intermediate-CA"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-root-CA/actions"
在使用者介面中建立具有外部簽署的中間 CA
具有外部簽章的中間 CA 會使用來自外部 PKI 系統,甚至另一個 Secrets Manager 實例的母項 CA 作為其信任錨點。 母項 CA 可以是主要 CA 或中間 CA。
步驟 1: 建立中間 CA 及簽署要求
您可以在 Secrets Manager 使用者介面中建立使用外部簽署的中繼 CA 憑證。
-
在主控台中,按一下 功能表 圖示
> 資源清單。 -
從服務清單中,選取 Secrets Manager 實例。
-
在「密鑰引擎」頁面中,按一下 專用憑證 標籤。
-
在「憑證管理中心」表格中,按一下 建立憑證管理中心 以啟動建立精靈。
-
指定憑證管理中心類型及選項。
- 選取 中繼憑證管理中心 作為憑證管理中心類型。
- 選取 外部簽署。
- 輸入名稱以輕鬆識別您的憑證管理中心。
- 選取要為此 CA 產生之憑證的存活時間上限 (TTL)。 TTL 會決定 CA 憑證保持有效的時間長度。
- 若要將頒發 CA 憑證的 URL 編碼到最終實體憑證中,請將 「編碼 URL 選項設為 「已啟用」。
-
輸入中繼 CA 憑證的主題名稱欄位。
-
選取金鑰管理服務。 選擇Secrets Manager用於由服務在內部建立根憑證授權單位金鑰的服務,或選擇Hyper Protect Crypto Services (HPCS)。 如果選擇 HPCS,請執行下列任務:
-
從實例下拉清單中選擇您的 HPCS 實例或手動輸入您的 HPCS 實例 CRN
-
選擇先前建立的用於透過 HPCS 進行驗證的 IAM 憑證金鑰。
一旦在 CA 配置中設定了 IAM 憑證,以後就無法取代。
-
從金鑰庫下拉清單中選擇 HPCS 私人金鑰庫,或手動輸入金鑰庫 ID。
-
選擇使用現有密鑰或產生新密鑰。 如果選擇現有 HPCS 私鑰或手動輸入私鑰 ID,請確保公鑰存在且其 ID 與私鑰庫中的私鑰相同。
如果您選擇產生新金鑰,這些金鑰將不會被刪除Secrets Manager以防配置被刪除。
-
-
選取金鑰演算法,以用來產生 CA 憑證的公開和私密金鑰。
-
決定是否啟用 CA 憑證的憑證撤銷清冊 (CRL) 建置及配送點。
CRL 是發出憑證管理中心在其排定到期日之前已撤銷的憑證清單。 應用程式無法再信任列在 CRL 中的憑證。
- 若要針對具有每一個憑證申請的中繼 CA 建置 CRL,請將 CRL 建置 選項設為 已啟用。
- 若要在中間 CA 憑證中編碼撤銷清單的 URL,請將 CRL 分發點選項設定為啟用。
- 選取所產生 CRL 的存活時間 (TTL)。 TTL 會決定 CRL 維持有效的時間長度。
-
檢閱您的選擇。 若要建立中間 CA,請按一下 建立。
中間 CA 會新增至實例的配置清單,且狀態為 需要簽署。 您必須先使用在外部 PKI 系統中建立的母項 CA 憑證來簽署專用憑證,然後才能使用此中繼 CA 來發出專用憑證。
步驟 2: 使用外部 CA 簽署中間 CA
當您在 Secrets Manager 中建立要使用外部 CA 簽署的中間 CA 時,會產生 憑證簽署要求(CSR)組織傳送至憑證管理中心 (CA) 以取得憑證的電子訊息。 此要求包含公開金鑰,而且是使用私密金鑰進行簽署;CA 會在使用自己的私密金鑰進行簽署之後傳回憑證。。 您可以使用 CSR 來簽署並發出中繼 CA 憑證。
-
在 Secrets Manager 使用者介面中,跳至 密鑰引擎> 專用憑證。
-
在您要簽署的中間 CA 的列中,按一下 動作 功能表
> 簽署憑證。 -
複製或下載 CSR。
-
使用 CSR 來簽署您的中繼 CA 憑證。
您可以從各種工具 (例如
openssl) 中選擇簽署 CSR 檔案。 例如,下列openssl指令會取得您從 Secrets Manager 下載的 CSR 檔案,並使用 PEM 編碼 CA 檔案及其相關聯的私密金鑰來發出已簽署 CA 憑證。openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>該指令會輸出已簽署的中間 CA 憑證檔,您隨後可以將該檔案匯入至 Secrets Manager 實例,以完成簽署程序。
步驟 3: 將已簽署的中間 CA 匯入至實例
在使用外部母項 CA 簽署中繼 CA 憑證之後,您可以使用 Secrets Manager 使用者介面將它匯入至實例。
使用 API 建立具有外部簽署的中間 CA
具有外部簽章的中間 CA 會使用來自外部 PKI 系統,甚至另一個 Secrets Manager 實例的母項 CA 作為其信任錨點。 母項 CA 可以是主要 CA 或中間 CA。 您可以使用 Secrets Manager API 來建立具有外部簽章的中間 CA。
步驟 1: 建立中間 CA 及簽署要求
下列範例顯示可用來建立具有外部簽署之中間 CA 的查詢。 在要求內文中,將 signing_method 屬性的值設為 external。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"config_type": "private_cert_configuration_intermediate_ca",
"name": "example-intermediate-CA",
"common_name": "example.com",
"crl_disable": false,
"crl_distribution_points_encoded": true,
"crl_expiry": "72h",
"issuer": "example-root-CA",
"issuing_certificates_urls_encoded": true,
"max_ttl": "26300h",
"signing_method": "external"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"
如果您攜帶自己的 HSM,請在請求中包含以下內容:
"crypto_key": {
"label": "my_key",
"allow_generate_key": true,
"provider": {
"type": "hyper_protect_crypto_services",
"instance_crn": "replace_with_hpcs_crn::",
"pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
"private_keystore_id": "replace_with_keystore_id"
}
}
從回應 JSON 資料複製 CSR。 CSR 值在回應的 data 屬性值內形成巢狀。 您也可以使用 get configuration API,從新建中間 CA 的資料中取得 CSR。
步驟 2: 使用外部 CA 簽署中間 CA
使用您在步驟 1 中複製的 CSR 來簽署中繼 CA 憑證。 將 CSR 放入要用於簽署的檔案中。
您可以從各種工具 (例如 openssl) 中選擇簽署 CSR 檔案。 例如,下列 openssl 指令會取得 CSR 檔案,並使用 PEM 編碼的 CA 檔案及其相關聯的私密金鑰來發出已簽章的 CA 憑證。
openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>
該指令會輸出已簽章的憑證檔,您可以將該憑證檔匯入至中間 CA 配置,以完成簽署程序。
如果母項 CA 是主要 CA 或來自另一個 Secrets Manager 實例的中間 CA,您可以使用 sign-csr 動作來簽署 CSR。 下列範例顯示可用來簽署 CSR 的查詢。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"action_type": "private_cert_configuration_action_sign_csr",
"csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICiDCCAXACAQAwGDEWMBQGA1UEAxMNct5ANo8jybxCwNjHOA==\n-----END CERTIFICATE REQUEST-----"
}' \
"https://{other_instance_ID}.{other_instance_region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-intermediate-CA/actions"
從回應中複製 certificate 欄位的值,以在下一步中使用它。
步驟 3: 將已簽署的中間 CA 匯入中間 CA 配置
在使用外部母項 CA 簽署中繼 CA 憑證之後,您可以使用 set-signed 動作將它匯入至中繼 CA 配置。 以下範例顯示您可以用來匯入外部簽署憑證的查詢。
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"action_type": "private_cert_configuration_action_set_signed",
"certificate": "-----BEGIN CERTIFICATE-----\nMIIGRjCCBS6gAwIBAgIUSKW6zI+E9JU4bva\n-----END CERTIFICATE-----"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/example-intermediate-CA/actions"
從 CLI 建立內部簽署的中間 CA
具有內部簽署的中間 CA 會使用先前在 Secrets Manager 實例中建立的母項 CA 作為其信任錨點。 您可以使用 Secrets Manager CLI 來建立具有內部簽章的中間 CA。
步驟 1: 建立具有內部簽署的中間 CA
若要建立具有內部簽署的中間 CA,請執行 ibmcloud secrets-manager configuration-create 指令。 在配置原型中,將 signing_method 屬性的值設為 internal。 使用 issuer 屬性來指定母項憑證管理中心。 例如,下列指令會建立具有內部簽署的中間 CA。
ibmcloud secrets-manager configuration-create
--configuration-prototype='{
"config_type": "private_cert_configuration_intermediate_ca",
"name": "example-intermediate-CA",
"max_ttl": "26300h",
"signing_method": "internal",
"issuer": "example-root-CA",
"crl_expiry": "72h",
"crl_disable": false,
"crl_distribution_points_encoded": true,
"issuing_certificates_urls_encoded": true,
"common_name": "example.com",
"alt_names": [
"alt-name-1","alt-name-2"
],
"ip_sans": "127.0.0.1",
"uri_sans": "https://www.example.com/test",
"other_sans": ["1.2.3.5.4.3.201.10.4.3;utf8:test@example.com"],
"format": "pem",
"private_key_format": "der",
"key_type": "rsa",
"key_bits": 4096,
"exclude_cn_from_sans": false
}'
如果您攜帶自己的 HSM,請在請求中包含以下內容:
"crypto_key": {
"label": "my_key",
"allow_generate_key": true,
"provider": {
"type": "hyper_protect_crypto_services",
"instance_crn": "replace_with_hpcs_crn::",
"pin_iam_credentials_secret_id": "replace_with_iam_credentials_secret_guid",
"private_keystore_id": "replace_with_keystore_id"
}
}
步驟 2: 簽署中間 CA
若要從 Secrets Manager CLI 簽署中間 CA,請執行 ibmcloud secrets-manager configuration-action-create 指令來套用 sign-intermediate 動作。 使用 --name 指令選項來傳遞簽署憑證管理中心 (發證者) 的名稱。
ibmcloud secrets-manager configuration-action-create --name example-root-CA
--config-action-prototype='{
"action_type": "private_cert_configuration_action_sign_intermediate",
"intermediate_certificate_authority": "example-intermediate-CA"
}'
從 CLI 建立具有外部簽署的中間 CA
具有外部簽章的中間 CA 會使用來自外部 PKI 系統,甚至另一個 Secrets Manager 實例的母項 CA 作為其信任錨點。 母項 CA 可以是主要 CA 或中間 CA。 您可以使用 Secrets Manager CLI 來建立具有外部簽章的中間 CA。
步驟 1: 建立中間 CA 及簽署要求
若要從 Secrets Manager CLI 建立中間 CA 及簽署要求,請執行 ibmcloud secrets-manager configuration-create 指令。 在配置原型中,將 signing_method 屬性的值設為 external。 使用 --output json 選項來取得包含 csr 屬性值的完整回應。 例如,下列指令會建立具有外部簽署的中間 CA。
ibmcloud secrets-manager configuration-create --output json
--configuration-prototype='{
"config_type": "private_cert_configuration_intermediate_ca",
"name": "example-intermediate-CA",
"max_ttl": "26300h",
"signing_method": "external",
"crl_expiry": "72h",
"crl_disable": false,
"crl_distribution_points_encoded": true,
"issuing_certificates_urls_encoded": true,
"common_name": "example.com",
"alt_names": [
"alt-name-1","alt-name-2"
],
"ip_sans": "127.0.0.1",
"uri_sans": "https://www.example.com/test",
"other_sans": ["1.2.3.5.4.3.201.10.4.3;utf8:test@example.com"],
"format": "pem",
"private_key_format": "der",
"key_type": "rsa",
"key_bits": 4096,
"exclude_cn_from_sans": false
}'
從回應 JSON 資料複製 CSR。 CSR 值在回應的 data 屬性值內形成巢狀。 您也可以執行 ibmcloud secrets-manager configuration 指令並指定 --output json 選項,以取得新建立的中間 CA 的資料。 例如:
ibmcloud secrets-manager configuration --name example-intermediate-CA --output json
步驟 2: 使用外部 CA 簽署中間 CA
使用您在步驟 1 中複製的 CSR 來簽署中繼 CA 憑證。 將 CSR 放入要用於簽署的檔案中。
您可以從各種工具 (例如 openssl) 中選擇簽署 CSR 檔案。 例如,下列 openssl 指令會取得 CSR 檔案,並使用 PEM 編碼的 CA 檔案及其相關聯的私密金鑰來發出已簽章的 CA 憑證。
openssl x509 -req -in <intermediate-ca-csr-file> -CA <external-parent-ca-file> -CAkey <external-ca-key-file> -out <signed-intermediate-ca-file>
該指令會輸出已簽章的憑證檔,您可以將該憑證檔匯入至中間 CA 配置,以完成簽署程序。
如果母項 CA 是主要 CA 或來自另一個 Secrets Manager 實例的中間 CA,您可以套用 sign-csr 動作來簽署 CSR。 若要套用動作,請執行 ibmcloud secrets-manager configuration-action-create 指令。 從指令輸出複製 certificate 欄位的值,以在下一步中使用它。 例如,如果母項 CA 是另一個 Secrets Manager 實例中名稱為 example-root-CA 的主要 CA,則指令如下所示。
ibmcloud secrets-manager configuration-action-create --name example-root-CA --output json
--config-action-prototype='{
"action_type": "private_cert_configuration_action_sign_csr",
"csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICiDCCAXACAQAwGDEWMBQGA1UEAxMNct5ANo8jybxCwNjHOA==\n-----END CERTIFICATE REQUEST-----"
}'
對於 sign-csr 動作,您需要以母項 CA 所在的其他 Secrets Manager 實例為目標。 在執行指令之前,請先匯出環境變數 SECRETS_MANAGER_URL,以將另一個實例設為目標。
步驟 3: 將已簽署的中間 CA 匯入中間 CA 配置
在使用外部母項 CA 簽署中間 CA 憑證之後,您可以將 set-signed 動作套用至中間 CA 配置,以將它匯入中間 CA 配置。 若要套用動作,請執行 ibmcloud secrets-manager configuration-action-create 指令。 例如:
ibmcloud secrets-manager configuration-action-create --name example-intermediate-CA
--config-action-prototype='{
"action_type": "private_cert_configuration_action_set_signed",
"certificate": "-----BEGIN CERTIFICATE-----\nMIIGRjCCBS6gAwIBAgIUSKW6zI+E9JU4bva\n-----END CERTIFICATE-----"
}'
使用 Terraform 建立具有內部簽署的中間 CA
具有內部簽署的中間 CA 會使用先前在 Secrets Manager 實例中建立的母項 CA 作為其信任錨點。 您可以使用 Terraform for Secrets Manager來建立具有內部簽署的中間 CA。
下列範例顯示可用來建立具有內部簽署的中間 CA 的配置。
resource "ibm_sm_private_certificate_configuration_intermediate_ca" "my_intermediate_ca" {
instance_id = local.instance_id
signing_method = "internal"
name = "example-intermediate-ca"
common_name = "example.com"
issuer = ibm_sm_private_certificate_configuration_root_ca.my_root_ca.name
max_ttl = "180000"
}
如果您自備 HSM,請在配置中包含以下內容:
crypto_key {
label = "my_key"
allow_generate_key = true
provider {
type = "hyper_protect_crypto_services"
instance_crn = "replace_with_hpcs_crn::"
pin_iam_credentials_secret_id = "replace_with_iam_credentials_secret_guid"
private_keystore_id = "replace_with_keystore_id"
}
}
使用內部簽署時,定義的發證者會自動簽署新建立的中間 CA 憑證。
使用 Terraform 建立具有外部簽名的中間 CA
具有外部簽章的中間 CA 會使用來自外部 PKI 系統,甚至另一個 Secrets Manager 實例的母項 CA 作為其信任錨點。 母項 CA 可以是主要 CA 或中間 CA。 您可以使用 Terraform for Secrets Manager來建立具有外部簽署的中間 CA。
下列範例顯示可用來建立具有外部簽署的中間 CA 的配置。 配置由三個資源組成。
ibm_sm_private_certificate_configuration_intermediate_ca 資源會建立中繼 CA 配置及憑證簽署要求。
ibm_sm_private_certificate_configuration_action_sign_csr 資源會使用另一個 Secrets Manager 實例中的主要 CA 來簽署 CSR。
ibm_sm_private_certificate_configuration_action_set_signed 資源會將已簽章的憑證匯入中間 CA 資源。
resource "ibm_sm_private_certificate_configuration_intermediate_ca" "my_intermediate_ca" {
instance_id = local.instance_id
name = "example-intermediate-ca"
signing_method = "external"
common_name = "example.com"
max_ttl = "180000"
}
resource "ibm_sm_private_certificate_configuration_action_sign_csr" "my_sign_action" {
instance_id = local.another_instance_id
name = ibm_sm_private_certificate_configuration_root_ca.my_root_ca.name
csr = ibm_sm_private_certificate_configuration_intermediate_ca.my_intermediate_ca.data[0].csr
}
resource "ibm_sm_private_certificate_configuration_action_set_signed" "my_set_signed_action" {
instance_id = local.instance_id
name = ibm_sm_private_certificate_configuration_intermediate_ca.my_intermediate_ca.name
certificate = ibm_sm_private_certificate_configuration_action_sign_csr.my_sign_action.data[0].certificate
}
在此範例中,我們使用外部簽署,因為主要 CA 位於另一個 Secrets Manager 實例中。 若要使用外部 PKI 系統的父 CA,請使用其他方法簽署 CSR,而不是 ibm_sm_private_certificate_configuration_action_sign_csr 資源。 例如,您可以使用來自 tls 提供者的 tls_locally_signed_cert 資源。
如果您自備 HSM,請在配置中包含以下內容:
crypto_key {
label = "my_key"
allow_generate_key = true
provider {
type = "hyper_protect_crypto_services"
instance_crn = "replace_with_hpcs_crn::"
pin_iam_credentials_secret_id = "replace_with_iam_credentials_secret_guid"
private_keystore_id = "replace_with_keystore_id"
}
}
在使用者介面中擷取中間 CA
您可以使用 Secrets Manager 使用者介面來擷取中間 CA 值。
- 在 公用憑證 密鑰引擎中,按一下 動作 功能表 ,以開啟引擎配置的選項清單。
- 若要檢視配置值,請按一下 檢視配置。
- 確定您位於安全環境之後,請按一下 確認。
密鑰值會顯示 15 秒,然後對話框會關閉。
使用 CLI 擷取中間 CA
您可以使用 Secrets Manager CLI 來擷取中間 CA 值。 在下列範例指令中,將引擎配置名稱取代為您配置的名稱。
ibmcloud secrets-manager configuration --name EXAMPLE_CONFIG --service-url https://{instance_ID}.{region}.secrets-manager.appdomain.cloud
將 {instance_ID} 和 {region} 取代為適用於 Secrets Manager 服務實例的值。 要找到專屬於您的實例的端點 URL,您可以從 Secrets Manager UI 的 Endpoints 頁面複製它。 如需相關資訊,請參閱 檢視端點 URL
使用 API 擷取中間 CA
您可以使用 Secrets Manager API 來擷取中間 CA 值。 在下列範例要求中,將引擎配置名稱取代為您配置的名稱。
curl -X GET --location --header "Authorization: Bearer {iam_token}" \
--header "Accept: application/json" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"
將 {instance_ID} 和 {region} 取代為適用於 Secrets Manager 服務實例的值。 要找到專屬於您的實例的端點 URL,您可以從 Secrets Manager UI 的 Endpoints 頁面複製它。 如需相關資訊,請參閱 檢視端點 URL
成功回應會傳回引擎配置的值,以及其他 meta 資料。 如需必要及選用要求參數的相關資訊,請參閱 取得密鑰。