SSL-Zertifikate für Load Balancer
Auf Compute Cloud@Customer können Sie SSL-Zertifikate über den Load Balancing-Service importieren und verwalten. Der Service generiert keine Zertifikate.
Ein SSL-Zertifikat kann eines von einem Anbieter wie VeriSign oder GoDaddy oder ein selbstsigniertes Zertifikat sein, das Sie mit einem Tool wie OpenSSL oder Let's Encrypt generieren.
Sie können ein benutzerdefiniertes, selbstsigniertes SSL-Zertifikat verwenden. Für Produktionsumgebungen empfiehlt Oracle jedoch die Verwendung eines von der CA ausgegebenen SSL-Zertifikats, wodurch das Risiko eines Man-in-the-Middle-Angriffs verringert wird.
Wenn Sie HTTPS oder SSL für einen Listener konfigurieren, muss ein SSL-Serverzertifikat mit dem Load Balancer verknüpft werden. Mit einem Zertifikat kann der Load Balancer die Verbindung beenden und eingehende Anforderungen löschen, bevor sie an die Backend-Server übergeben werden. Sie können die folgenden SSL-Konfigurationen auf den Load Balancer anwenden:
- SSL-Beendigung: Der Load Balancer verarbeitet eingehenden SSL-Traffic und übergibt die nicht verschlüsselte Anforderung an einen Backend-Server.
- Point-to-Point-SSL: Der Load Balancer beendet die SSL-Verbindung mit einem Client für eingehenden Traffic und initiiert dann eine SSL-Verbindung mit einem Backend-Server.
- SSL-Tunneling: Wenn Sie den Load-Balancer-Listener für TCP-Traffic konfigurieren, leitet der Load Balancer eingehende SSL-Verbindungen an die Anwendungsserver.
Load Balancing unterstützt das TLS 1.2-Protokoll mit einer Standardeinstellung auf starke Cipher-Stabilität.
Um Standard SSL mit einem Load Balancer und dessen Ressourcen zu verwenden, müssen Sie ein Zertifikat angeben. Um gegenseitige TLS (mTLS) mit dem Load Balancer zu verwenden, müssen Sie Ihrem System mindestens ein Certificate-Authority-Bundle (CA-Bundle) hinzufügen. Ein Zertifikat-Bundle umfasst das öffentliche Zertifikat, den entsprechenden Private Key sowie zugehörige Certificate Authority-(CA-)Zertifikate. Es wird empfohlen, die Zertifikats-Bundles hochzuladen, bevor Sie die Listener oder Backend-Sets erstellen, mit denen Sie sie verknüpfen möchten. Es werden nur X.509-Zertifikate im PEM-Format akzeptiert.
Load Balancer verwenden im Allgemeinen Einzeldomainzertifikate. Load Balancer mit Listenern, die eine Anforderungsroutingkonfiguration enthalten, erfordern jedoch möglicherweise ein Subject Alternative Name-(SAN-)Zertifikat (auch als Multidomainzertifikat bezeichnet) oder ein Platzhalterzertifikat. Der Load-Balancing-Service unterstützt jeden dieser Zertifikatstypen.