CAトラスト・チェーンを使用した外部インタフェースへのアクセス

Oracle Private Cloud Applianceアーキテクチャでは、独自の認証局(CA)証明書を提供して、CAトラスト・チェーンを使用してラックの外部インタフェースにアクセスできます。

すべての外部インタフェースにアクセスするには、次の3つの異なるCA証明書が必要です。

重要:

新しいサービスがPrivate Cloud Applianceに追加されるたびに、「Regular uplink」CA証明書を更新します。

  • Admin-accessible

    • admin.<domain_name>

    • adminconsole.<domain_name>

    • alertmanager.<domain_name>

    • api.<domain_name>

    • grafana.<domain_name>

    • prometheus.<domain_name>

    • prometheus-gw.<domain_name>

  • 通常のアップリンク

    • auth.<domain_name>

    • autoscaling.<domain_name>

    • backup-provider.<domain_name>

    • compute-containers.<domain_name>

    • console.<domain_name>

    • containerengine.<domain_name>

    • dns.<domain_name>

    • filestorage.<domain_name>

    • iaas.<domain_name>

    • identity.<domain_name>

    • limits.<domain_name>

    • network-load-balancer-api.<domain_name>

    • regionregistry.<domain_name>

    • regionrepository.<domain_name>

    • rps.<domain_name>

  • オブジェクト・ストレージ
    • objectstorage.<domain_name>

独自のCA信頼できる証明書を使用するプロセスは簡単です:

  1. Private Cloud Applianceに証明書署名リクエスト(CSR)を作成します。
  2. これらのCSRを使用して、独自のCAによって署名された証明書を生成します。
  3. これらのCA証明書およびCA信頼チェーンをPrivate Cloud Applianceにアップロードします。

証明書署名リクエストの作成

独自のCAを使用するには、Private Cloud ApplianceでCSRを生成してから、CSRを使用してCAによって署名された証明書を生成する必要があります。

ノート:

OpenSSHクライアントは、少なくともバージョンopenssh-clients-7.4p1以上である必要があります。

「サービスCLI」の使用

CSRを生成するには、generateCustomerCsrコマンドを使用します。

  1. 「サービスCLI」にログインします。
  2. generateCustomerCsrコマンドを実行します: 
    PCA-ADMIN> generateCustomerCsr
Command: generateCustomerCsr
Status: Success
Time: 2023-05-17 18:43:55,904 UTC
Data: 
 status = success
 message = Successfully generated customer csr: 
    Please download all CSR files from: /nfs/shared_storage/certs/customer_csr/

  3. 必要に応じて、識別名をgenerateCustomerCsrコマンドに追加できます: 

    PCA-ADMIN> generatecustomerCsr country=IN state=KA locality=blr \
  organization=example organizationunit=adminexample,pca email=test@example.com
Command: generatecustomerCsr country=IN state=KA locality=blr  \ 
  organization=example organizationunit=adminexample,pca email=test@example.com
Status: Success
Time: 2023-10-11 22:48:16,718 UTC
Data: 
  status = success 
  message = Successfully generated customer csr: 
     Please download all CSR files from: /nfs/shared_storage/certs/customer_csr/

    許容される識別名には、国、都道府県、地域、組織、単位およびEメールが含まれます。

    新しく生成されたCSRファイルは、管理ノードの/nfs/shared_storage/certs/customer_csr/ディレクトリにあります:

    • external_tls_term.csr.pem
    • external_admin_tls_term.csr.pem
    • zfssa.csr.pem
  4. CSRをダウンロードします。
  5. CSRに基づいたCAによって署名された証明書を作成します。

    重要:

    証明書を生成するときは、CSRのSAN情報からFDQN (およびIPアドレスなし)を追加する必要があります。

CAトラスト・チェーンを確立するために外部証明書を提供する場合は、データセンターDNSにPTRレコードを追加する必要があります。 DNS内のPTR (ポインタ・レコード)は、IPアドレスをホスト名にマップします。 この動作は、DNSのAレコードによって提供される、指定されたホスト名に対する通常のIPアドレス検索の逆です。

ディザスタ・リカバリで使用される2つのReplicationIpsに対して、ReverseIp参照ゾーンを作成する必要があります。 DNSリクエストは、Private Cloud Applianceサービス・ゾーンのリクエストが転送されるのと同様に、Private Cloud Applianceに転送されます。 zfsCapacityPoolReplicationEndpointのみが定義されている場合は、そのIPアドレスのPTRレコードのみが必要です。

ReverseIpルックアップを作成するには、ReverseIPルックアップ用のDNSゾーンを作成する必要があります。 レプリケーションIPの構成方法に応じて、1つ以上の逆参照ゾーンを作成します。 これらのPTRレコードを作成する方法は、データ・センターのDNSサーバーのインタフェースによって異なります。

たとえば、ラック・ドメインがmyprivatecloud.example.comで、キャパシティ・プールIPが10.170.123.98で、パフォーマンス・プールIPが10.170.123.99の場合、Private Cloud Applianceには次のマッピングがある2つのゾーンが必要です: 

98.123.170.10.in-addr.arpa rtype PTR rdata sn01-dr1.myprivatecloud.example.com
99.123.170.10.in-addr.arpa rtype PTR rdata sn02-dr1.myprivatecloud.example.com

DNSおよびPTRレコードの詳細は、「Oracle Private Cloud Applianceユーザーズ・ガイド」「ネットワーク」セクションを参照してください。

アップロード・プロセスに進むことができます。

CA証明書のアップロード

CA証明書がある場合は、CAトラスト・チェーンとともにそれらをPrivate Cloud Applianceにアップロードする必要があります。

「サービスCLI」の使用

uploadCustomerCertsコマンドを使用して、CA証明書をアップロードします。 このコマンドは、次のパラメータを使用して、証明書およびCAトラスト・チェーンへのフルパスを提供します:
  • caTrustChain
  • externalAdminCert
  • externalCert
  • zfsCert
  1. 「サービスCLI」にログインします。
  2. 「証明書署名リクエストの作成」で作成したCA証明書とCA信頼チェーンを管理ノードの/nfs/shared_storageディレクトリにコピーします。
  3. uploadCustomerCertsコマンドを実行して、すべてのCA証明書をアップロードします。 たとえば: 
    PCA-ADMIN> uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert 
             zfsCert=/nfs/shared_storage/certs/zfssa.cert 
             caTrustChain=/nfs/shared_storage/CAPrivate.pem
Command: uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert
             zfsCert=/nfs/shared_storage/certs/zfssa.cert 
             caTrustChain=/nfs/shared_storage/CAPrivate.pem
Status: Success
Time: 2023-05-17 18:43:55,904 UTC
Data: 
 status = success
 message = Successfully uploaded customer CERTS

    重要:

    caTrustChainパラメータを使用して、CA証明書のアップロード・コマンドの1つを使用してCA信頼チェーンをアップロードします。
    Private Cloud Applianceで管理ネットワーク機能が有効になっている場合、uploadCustomerCertsコマンドには追加のexternalAdminCertパラメータが必要です。 たとえば: 
    PCA-ADMIN> uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert 
             zfsCert=/nfs/shared_storage/certs/zfssa.cert 
             caTrustChain=/nfs/shared_storage/CAPrivate.pem
             externalAdminCert=/nfs/shared__storage/external_admin_tls_term.cert
Command: uploadCustomerCerts externalcert=/nfs/shared_storage/external_tls_term.cert
             zfsCert=/nfs/shared_storage/certs/zfssa.cert 
             caTrustChain=/nfs/shared_storage/CAPrivate.pem
             externalAdminCert=/nfs/shared__storage/external_admin_tls_term.cert
Status: Success
Time: 2023-05-17 18:49:03,904 UTC
Data: 
 status = success
 message = Successfully uploaded customer CERTS

ノート:

CA証明書をバックアウトし、Oracle提供の証明書に戻す必要がある場合は、Oracleに連絡してください。