OCI lança Bring Your Own Certificate Authority: Flexibilidade estratégica para a sua PKI

Uma maneira mais simples de estender sua infraestrutura de chave pública (PKI) existente para a Oracle Cloud sem precisar reconstruir o que já funciona no seu ambiente on-premises.

Temos o prazer de anunciar o lançamento do Bring Your Own Certificate Authority (BYOCA) para o OCI Certificates. Este recurso foi projetado para oferecer às empresas a flexibilidade de integrar sua infraestrutura de Autoridade Certificadora (CA) existente diretamente no OCI, mantendo o controle total de suas chaves privadas.

Hoje, as grandes empresas operam ambientes PKI maduros e profundamente enraizados, que dão suporte a milhares de aplicações, mandatos regulatórios e cadeias de confiança de longa data. Reconstruir essa hierarquia do zero na nuvem é caro, arriscado e raramente viável — especialmente para clientes em setores altamente regulados e auditados, onde as políticas exigem que o root of trust permaneça em suas próprias instalações. Nesses cenários, administradores de segurança, arquitetos e CIOs no Brasil precisam de um modelo que permita cumprir obrigações de compliance, reduzir riscos operacionais e preservar a continuidade da confiança. O BYOCA surge justamente para preencher essa lacuna.

Desbloqueando a flexibilidade para suas cadeias de confiança existentes

Atualmente, o OCI Certificates permite que os clientes construam PKIs privadas na nuvem — criando CAs, emitindo certificados e gerenciando operações de ciclo de vida com fluxos de trabalho seguros e automatizados. No entanto, muitas organizações já dependem de root CAs consolidadas que não desejam (ou não podem) migrar.

Com o BYOCA, o OCI amplia essas capacidades, permitindo que você traga sua root CA externa para o ambiente Cloud mantendo a custódia das chaves.

O que você pode fazer hoje

Com o BYOCA, agora é possível:

• Estender uma hierarquia de root CA existente para o OCI sem expor chaves privadas.
• Criar subordinate CAs gerenciadas pelo OCI usando CSRs assinados pela raiz externa.
• Emitir certificados diretamente de subordinate CAs gerenciadas no OCI usando chaves seguras baseadas em KMS.

Isso elimina a barreira entre seus investimentos atuais em PKI e os benefícios de automação e escalabilidade da nuvem.

Como isso beneficia sua operação

1. Maior Flexibilidade: Aproveite sua infraestrutura de CA, políticas e modelos de governança já estabelecidos no OCI sem necessidade de redesenho.
2. Melhor Interoperabilidade: Conecte ambientes híbridos sem esforço. O BYOCA facilita a execução de workloads distribuídos entre on-prem, multi-cloud e OCI.
3. Alinhamento de Compliance: O BYOCA suporta modelos rígidos de separação de funções e exigências de auditoria, enquanto o OCI cuida do ciclo de vida operacional das subordinate CAs em uma plataforma segura.
4. Opções de Segurança Flexíveis: Você decide onde as chaves residem e como são gerenciadas. Mantenha o controle total das chaves mestras enquanto o OCI reduz o fardo operacional da gestão de certificados.

Como funciona na prática

Traga sua própria Root CA

Importe sua root CA externa para o OCI Certificates fornecendo apenas o certificado (PEM), sem nunca carregar suas chaves privadas. O OCI registra isso como uma root CA gerenciada externamente, mantendo a confiança com sua PKI existente.

Como importar sua Root CA?

1. No Console OCI, abra o menu principal e vá para Identity & Security → Certificates.
2. Em Certificate Authorities, clique em Import Certificate Authority.
3. Insira o Nome, Descrição e o Compartment onde deseja importar.
4. Faça o upload ou cole o arquivo PEM do certificado da sua root CA. Adicione uma descrição para a chave externa e finalize a importação.

Crie uma Subordinate CA gerenciada pelo OCI

Uma vez que sua root CA foi importada, você pode gerar um Certificate Signing Request (CSR) no OCI para criar uma nova subordinate CA (subCA). Escolha a opção “Subordinate Certificate Authority: External CA issued, Managed Internally”. Você então assina este CSR externamente usando suas chaves de root CA originais e faz o upload do certificado assinado de volta para o OCI.

A partir desse ponto, o serviço OCI Certificates ativa a subordinate CA e a gerencia em seu nome, utilizando chaves armazenadas com segurança no OCI KMS. Essa subordinate CA requer uma chave protegida por HSM.

Como criar:

1. Na lista de Certificate Authorities, clique em Create Certificate Authority.
2. Insira as informações básicas (Nome, Descrição, Compartment).
3. Selecione o card “Subordinate Certificate Authority external CA issued, managed internally”.

Em Authority Configuration, escolha a root CA externa que servirá como pai. Selecione o Vault e a chave KMS que protegerá a chave privada da subordinate CA. A chave pode ser uma já existente ou uma importada por você para o OCI KMS.

Em Rules, você pode configurar regras de expiração e emissão (validade, restrições de nome e profundidade da cadeia).

Após criar a entidade, para ativá-la:

1. Acesse a aba Versions da subCA criada (que estará com status Pending_Activation).
2. Clique no menu de opções e selecione Download CSR.
3. Assine este CSR com sua CA externa.
4. Volte ao OCI, clique em Activate, faça o upload do certificado assinado e confirme.

O resultado final:

• Uma subordinate CA totalmente operacional.
• Chaves privadas geradas ou importadas dentro do OCI KMS.
• Gestão completa do ciclo de vida e emissão de certificados diretamente via OCI.

Essa abordagem permite que você mantenha a soberania sobre a raiz da sua confiança digital enquanto aproveita a agilidade da cloud para a emissão diária de certificados exigida pelos seus serviços e aplicações.

---

Artigo originalmente publicado por Meghana Vyakaranam em cloud-infrastructure.