Richten Sie zwei Thales CipherTrust Cloud Key Manager Appliances in OCI ein, erstellen Sie ein Cluster zwischen ihnen, und konfigurieren Sie eines als Certificate Authority

Einführung

Unternehmen suchen zunehmend nach einer besseren Kontrolle über ihre kryptografischen Schlüssel in der heutigen Cloud-First-Landschaft, um die Anforderungen an Sicherheit, Compliance und Datensouveränität zu erfüllen. Thales CipherTrust Cloud Key Manager (CCKM) bietet eine zentralisierte Lösung zur Verwaltung von Verschlüsselungsschlüsseln und Secrets in Multicloud- und Hybridumgebungen, einschließlich Oracle Cloud Infrastructure (OCI). Ein wichtiges Feature dieser Architektur ist die Unterstützung von Hold Your Own Key (HYOK), mit dem Sie die vollständige Kontrolle über Ihre Verschlüsselungsschlüssel behalten können, selbst wenn Sie Cloud-Services von Drittanbietern verwenden.

In diesem Tutorial werden Sie durch das vollständige Setup von zwei Thales CCKM-Appliances in OCI geführt, darunter:

• Zwei CCKM-Instanzen werden bereitgestellt.
• Erstellen Sie ein High-Availability-Cluster zwischen ihnen.
• Konfigurieren einer der Appliances als Certificate Authority (CA) für die Ausgabe und Verwaltung interner Zertifikate.

Am Ende dieses Tutorials verfügen Sie über eine robuste und skalierbare CCKM-Umgebung, die wichtige Anwendungsfälle wie Bring Your Own Key (BYOK), HYOK und zentralisiertes Schlüssellebenszyklusmanagement unterstützt. Dieses Setup ist ideal für Unternehmen, die ihre Schlüsselkontrolle in die Cloud erweitern und gleichzeitig die höchsten Datensicherheitsstandards einhalten möchten.

Hinweis: In diesem Tutorial werden die Begriffe Thales CipherTrust Cloud Key Manager (CCKM) und Thales CipherTrust Manager austauschbar verwendet. Beide beziehen sich auf das gleiche Produkt.

Ziele

• Aufgabe 1: OCI Virtual Cloud Network-(VCN-)Infrastruktur prüfen.
• Aufgabe 2: Stellen Sie die erste Thales CCKM Appliance bereit.
• Aufgabe 3: Führen Sie die Erstkonfiguration für die erste Thales CCKM-Appliance aus.
• Aufgabe 4: Stellen Sie die zweite Thales CCKM-Appliance bereit, und führen Sie die Erstkonfiguration auf dem CCKM aus.
• Aufgabe 5: Prüfen Sie die Verbindung zwischen den Thales CCKM-Appliances Remote Peering Connection (RPC).
• Aufgabe 6: DNS konfigurieren
• Aufgabe 7: Konfigurieren Sie die erste Thales CCKM-Appliance als Certificate Authority (CA).
• Aufgabe 8: Erstellen Sie einen cloud service-Provider (CSR) für beide Thales CCKM Appliances, und signieren Sie sie von der CA.
• Aufgabe 9: Thales CCKM-Appliance-Clustering konfigurieren

Aufgabe 1: OCI Virtual Cloud Networks-(VCN-)Infrastruktur prüfen

Vor der Bereitstellung der Thales CCKM-Appliances ist es wichtig, die zugrunde liegende OCI-Netzwerkarchitektur zu verstehen, die sie unterstützt.

In diesem Setup verwenden wir zwei separate VCNs:

• Ein VCN befindet sich in der OCI-Region Amsterdam (AMS).
• Das zweite VCN befindet sich in der OCI-Region Ashburn (ASH).

Diese beiden Regionen sind über einen RPC verbunden und ermöglichen eine sichere und regionsübergreifende Kommunikation zwischen den CCKM-Appliances mit geringer Latenz. Diese regionsübergreifende Konnektivität ist für High Availability, Redundanz und Clustering der CCKMs unerlässlich.

Die CCKM-Appliances werden in öffentlichen Subnetzen in jedem VCN für dieses Tutorial bereitgestellt. Dieser Ansatz vereinfacht den anfänglichen Zugriff und die Verwaltung über das Internet, z. B. über SSH oder die Webschnittstelle. Es ist jedoch wichtig zu beachten, dass die Best Practice in Produktionsumgebungen darin besteht, diese Appliances in privaten Subnetzen bereitzustellen und den Zugriff über einen Bastionhost oder einen Stepstone-(Jump-)Server zu verwalten. Dies reduziert die Exposition der Appliances gegenüber dem öffentlichen Internet und entspricht einer sichereren Netzwerkhaltung.

In der nächsten Aufgabe stellen wir die CCKMs in diesem geprüften VCN-Setup bereit.

Aufgabe 2: Erste Thales CCKM-Appliance bereitstellen

Bevor Sie die erste Thales CCKM-Appliance bereitstellen, müssen wir sicherstellen, dass das erforderliche Image in OCI verfügbar ist.

Während die offizielle Thales-Dokumentation normalerweise empfiehlt, einen Supportfall zu öffnen, um eine OCI Object Storage-URL zum direkten Import des CCKM-Images in OCI abzurufen, verwenden wir eine alternative Methode.

Wir haben eine lokale 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova-Datei von Thales erhalten. Anstatt die angegebene URL zu verwenden, werden wir:

1. Extrahieren Sie die Datei .vmdk aus dem Archiv .ova.
2. Laden Sie die Datei .vmdk in einen OCI Object Storage-Bucket hoch.
3. Erstellen Sie ein benutzerdefiniertes Image in OCI aus der Datei .vmdk.
4. Stellen Sie die CCKM-Instanz mit diesem benutzerdefinierten Image bereit.

Diese Methode gibt uns die vollständige Kontrolle über den Imageimportprozess und ist besonders nützlich bei luftgedeckten oder benutzerdefinierten Deployment-Szenarios.

• Speichern Sie die Datei 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova in einem neuen Ordner auf dem lokalen Datenträger.

  

• Exportieren Sie die Datei .ova.

  

• Beachten Sie die Datei .vmdk im extrahierten Ordner.

  

Mit der OCI-Netzwerkinfrastruktur können wir die erste Thales CCKM-Appliance in der Region Amsterdam (AMS) bereitstellen. Melden Sie sich bei der OCI-Konsole an.

• Navigieren Sie zu Storage, Object Storage, und klicken Sie auf Buckets.

  

• Stellen Sie sicher, dass Sie sich im richtigen Compartment befinden, und klicken Sie auf Bucket erstellen.

  

• Geben Sie die folgenden Daten ein, und klicken Sie auf Erstellen, um den Vorgang abzuschließen.

  • Bucket-Name: Geben Sie CCKM_Bucket ein.
  • Storage Tier: Wählen Sie Standard (Standard) aus.
  • Behalten Sie alle anderen Einstellungen standardmäßig bei (es sei denn, für Ihren Anwendungsfall sind Verschlüsselungs- oder Zugriffsrichtlinien erforderlich).

  

• Klicken Sie auf den neu erstellten OCI Object Storage-Bucket.

  

• Bildlauf nach unten.

  

• Klicken Sie auf Hochladen.

  

• Geben Sie folgende Informationen ein.

  • Geben Sie unter Objektnamenspräfix 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA ein.
  • Behalten Sie alle anderen Einstellungen standardmäßig bei.
  • Wählen Sie die Datei .vmdk (z.B. k170v-2.19.0+14195-disk1.vmdk) auf dem lokalen Rechner aus, und klicken Sie auf Hochladen. Warten Sie, bis der Prozess abgeschlossen ist.

  

• Klicken Sie nach Abschluss des Uploads auf Schließen.

  

• Beachten Sie, dass die Datei .vmdk hochgeladen wird.

  

Führen Sie nach dem Hochladen der Datei .vmdk in den OCI Object Storage-Bucket die folgenden Schritte aus, um sie als benutzerdefiniertes Image zu importieren.

• Navigieren Sie zur OCI-Konsole, navigieren Sie zu Compute, und klicken Sie auf Benutzerdefinierte Images.

  

• Klicken Sie auf Image importieren.

  

• Geben Sie Folgendes ein, und klicken Sie auf Image importieren.

  • Name: Geben Sie 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA ein.
  • Betriebssystemversion: Ordnen Sie das BS im CCKM-Image zu (prüfen Sie die Thales-Dokumentation, in der Regel eine Version von Debian oder Ubuntu).
  • Wählen Sie Aus OCI Object Storage-Bucket importieren aus.
  • Bucket: Wählen Sie den Bucket aus.
  • Objekt: Wählen Sie das Objekt aus, das im vorherigen Abschnitt hochgeladen wurde (die Datei .vmdk).
  • Imagetyp: Wählen Sie VMDK aus.

  

• Bildlauf nach unten.

  

• Der Importstatus ist in Bearbeitung. Beim Import ist ein Prozentsatz abgeschlossen.

  

• Wenn der Bildimport abgeschlossen ist, ist das Bild verfügbar.

  

• Navigieren Sie zur OCI-Konsole, navigieren Sie zu Compute, und klicken Sie auf Instanzen.

  

• Klicken Sie auf Instanz erstellen.

  

• Geben Sie folgende Informationen ein.

  • Name: Geben Sie den Instanznamen ein. Beispiel: CCKM-1.

  • Wählen Sie eine beliebige verfügbare AD in der ausgewählten Region aus (z.B. AD-1 in Amsterdam).

    

• Klicken Sie im Abschnitt Image und Ausprägung auf Image ändern, und wählen Sie Benutzerdefinierte Images aus.

  

• Geben Sie die folgenden Daten ein, und klicken Sie auf Image auswählen.

  • Wählen Sie Meine Bilder aus.

  • Wählen Sie Benutzerdefinierte Images aus.

  • Name des benutzerdefinierten Images: Wählen Sie das importierte Image aus. Beispiel: 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.

    

• Wählen Sie Ausprägung (VM.Standard.E5.Flex), und konfigurieren Sie OCPU und Arbeitsspeicher.

  Hinweis: Prüfen Sie die Mindestspezifikationsanforderungen von Thales für CCKM (in der Regel mindestens 2 OCPU/8 GB RAM).

  

• Wählen Sie das vorhandene VCN und das Subnetz aus. Verwenden Sie ein öffentliches Subnetz, wenn Sie direkten SSH-/Webzugriff wünschen (oder ein privates Subnetz mit Bastion, wenn Sie Best Practices befolgen).

  

• Wählen Sie Private IPv4-Adresse automatisch zuweisen und Öffentliche IPv4-Adresse automatisch zuweisen aus.

  

• Wählen Sie unter SSH-Schlüssel hinzufügen die Option Public-Key-Dateien hochladen aus, und laden Sie eine .pub-Datei hoch. Dieser Schlüssel wird für den Zugriff auf die VM über SSH verwendet. Klicken Sie auf Erstellen.

  

  Die Instanz befindet sich im Status PROVISIONING.

  

• Wenn PROVISIONING erfolgreich abgeschlossen wurde, ändert sich der Instanzstatus in RUNNING. Beachten Sie die öffentlichen und privaten IP-Adressen, die wir später für die Konfiguration und Verwaltung benötigen.

  

• Zum Testen von SSH verwenden Sie die Royal TSX-Anwendung und konfigurieren die SSH-Session.

  

• Geben Sie in der Royal TSX-Session auf der Registerkarte Zugangsdaten den Benutzernamen an. Beispiel: ksadmin.

  

• Stellen Sie sicher, dass Sie auch die entsprechende Private-Key-Datei auswählen.

  

• Melden Sie sich mit SSH beim neu bereitgestellten CCKM an.

  

• Zur Konfiguration des CCKM verwenden wir die Web-GUI.

• Navigieren Sie zu der öffentlichen IP-Adresse oder privaten IP-Adresse, wenn Sie eine interne Verbindung mit Ihrem Webbrowser herstellen.

• Jede CA kann das selbstsignierte Zertifikat nicht validieren. Klicken Sie daher auf Erweitert.

  

• Fahren Sie trotzdem mit der Verbindung fort.

  

• Möglicherweise wird der folgende Fehler angezeigt. Das bedeutet, dass nicht alle Services auf der Instanz gestartet wurden. Warten Sie, bis alle Services gestartet sind. Dieser Vorgang kann bis zu 5 Minuten dauern.

  

• Wenn alle Dienste gestartet werden, erhalten Sie eine Meldung, dass alle Dienste in Ordnung sind.

  

• Melden Sie sich mit Username als admin und Password als admin an. Nach der ersten Anmeldung werden Sie aufgefordert, das Passwort zu ändern.

  

• Ändern Sie das Kennwort, indem Sie die Anweisungen befolgen.

  

• Melden Sie sich mit Ihrem neuen Passwort an.

  

• Beachten Sie, dass Sie angemeldet sind und das CCKM erfolgreich bereitgestellt wurde.

  

Die folgende Abbildung zeigt den aktuellen Stand unseres Deployments.

Aufgabe 3: Erstkonfiguration mit der ersten Thales CCKM-Appliance ausführen

Nachdem die erste CCKM-Appliance bereitgestellt und zugänglich ist, ist es an der Zeit, die Erstkonfiguration durchzuführen. Dazu gehört die Einrichtung der Systemuhr über einen NTP-Server und die Aktivierung der Bewertungslizenz oder der von Thales bereitgestellten tatsächlichen Lizenz.

Diese Schritte stellen sicher, dass die Appliance mit genauer Zeit arbeitet, die für die Zertifikatsverwaltung, -protokollierung und -synchronisierung wichtig ist, und während der Evaluierungs- oder Einrichtungsphase voll funktionsfähig ist.

• Navigieren Sie zu Admin-Einstellungen, NTP, und wählen Sie NTP-Server hinzufügen aus.

  

• Geben Sie den Hostnamen oder die IP-Adresse eines zuverlässigen NTP-Servers ein (z.B. 169.254.169.254 (öffentliche NTP-Server-IP von Oracle) oder die interne NTP-Quelle Ihrer Organisation), und klicken Sie auf NTP-Server hinzufügen.

  

• Beachten Sie die Meldung, dass der NTP-Server erfolgreich hinzugefügt wurde. Klicken Sie auf Schließen.

  

• Prüfen Sie, ob die Zeit korrekt synchronisiert ist.

  

• Gehen Sie zu Admin-Einstellungen, Lizenzierung, und klicken Sie auf Bewertung der CipherTrust-Plattform starten.

  

• Bildlauf nach unten.  

• Klicken Sie auf Plattformbewertung CipherTrust starten.

  

• Es dauert einige Minuten, bis die Lizenz aktiviert ist.

  

• Prüfen Sie die aktivierte Lizenz.

  

Aufgabe 4: Second Thales CCKM Appliance bereitstellen und Erstkonfiguration durchführen

Führen Sie die Schritte in Aufgabe 2 und Taks 3 aus, um das zweite CCKM in der ASH-Region bereitzustellen.

• Stellen Sie sicher, dass das zweite CCKM bereitgestellt ist und RUNNING ausgeführt wird.

  

• Testen Sie die Verbindung zwischen SSH und dem zweiten CCKM.

  

• Testen Sie die Verbindung zwischen dem Web und dem zweiten CCKM.

  

Die folgende Abbildung zeigt den aktuellen Stand unseres Deployments.

Aufgabe 5: Verbindung zwischen dem Thales CCKM Appliances RPC prüfen

Um sich auf High Availability und Clustering zwischen den beiden Thales CCKM-Appliances vorzubereiten, ist es wichtig, die richtige Konnektivität zwischen den Regionen sicherzustellen, in denen sie bereitgestellt werden.

In unserem Setup wurde ein RPC zwischen den OCI-Regionen Amsterdam (AMS) und Ashburn (ASH) eingerichtet. Diese RPC ermöglicht eine sichere Kommunikation mit geringer Latenz zwischen den beiden VCNs, in denen sich jede CCKM-Appliance befindet.

Was wurde konfiguriert:

• Remote-Peering-Verbindung (RPC) wird zwischen AMS und ASH hergestellt und aktiv.
• Routingtabellen sind entsprechend konfiguriert, um sicherzustellen, dass der Traffic zwischen den beiden VCNs korrekt weitergeleitet wird.
• Sicherheitslisten in beiden Regionen sind derzeit so konfiguriert, dass alle Ingress- und Egress-Traffic zulässig ist. Dies dient dazu, Proof of Concept-(PoC-)Tests zu vereinfachen und konnektivitätsbezogene Probleme während des anfänglichen Setup- und Clustering-Prozesses zu beseitigen.

Hinweis:

• In einer Produktionsumgebung wird dringend empfohlen, den Traffic auf nur die erforderlichen Ports für Clustering und Management zu beschränken.
• Die genauen Portanforderungen finden Sie in der Thales-Dokumentation (z.B. TCP-Ports wie 443, 8443, 5432 und andere, die vom CCKM-Clusterprotokoll verwendet werden).

Durch dieses regionsübergreifende Netzwerksetup wird sichergestellt, dass die CCKMs während des Clustererstellungsprozesses nahtlos kommunizieren können. Dies wird in einem der folgenden Abschnitte behandelt.

Aufgabe 6: DNS konfigurieren

Die richtige DNS-Auflösung ist erforderlich, um eine nahtlose Kommunikation zwischen den beiden Appliances zu ermöglichen. Dies ist besonders wichtig für sicheres Clustering, Zertifikatshandling und allgemeine Servicestabilität.

Hinweis: Ab diesem Zeitpunkt werden die Thales CCKM-Appliances als Thales CipherTrust Manager bezeichnet, kurz CyberTrust Manager.

Während wir einen benutzerdefinierten internen DNS-Server verwenden, nutzen wir OCI-DNS-Services mit einer privaten DNS-Zone in diesem Deployment. Dadurch können wir den Thales CipherTrust-Managern aussagekräftige, vollqualifizierte Domainnamen (FQDNs) zuweisen und sicherstellen, dass sie regionsübergreifend kommunizieren können, ohne sich auf statische IPs zu verlassen.

• Name der privaten DNS-Zone: Geben Sie oci-thales.lab ein.
• Geltungsbereich: Wählen Sie Privat aus.
• Verknüpfte VCNs: Sowohl AMS- als auch ASH-VCNs (um regionsübergreifende Namensauflösung zuzulassen).

Wir haben zwei A-Datensätze innerhalb der Zone oci-thales.lab erstellt, die auf die privaten IPs jeder Thales CipherTrust Manager-Appliance verweisen:

Hostname	FQDN	Verweist auf
ctm1	ctm1.oci-thales.lab	Private IP von Thales CipherTrust Manager in AMS
ctm2	ctm2.oci-thales.lab	Private IP von Thales CipherTrust Manager in ASH

Die Verwendung von FQDNs erleichtert die Verwaltung von Zertifikaten und Clusterkonfigurationen und vermeidet die Kopplung der Konfiguration mit festen IPs.

• Navigieren Sie zur OCI-Konsole, und navigieren Sie zu Virtuellen Cloud-Netzwerken. Stellen Sie sicher, dass Sie sich in der AMS-Region befinden.

  

• Klicken Sie auf das VCN.

  

• Klicken Sie auf den DNS-Resolver (für dieses VCN).

  

• Klicken Sie auf die Private Standardansicht (für diesen DNS-Resolver und dieses VCN).

  

• Klicken Sie auf Zone erstellen.

  

• Geben Sie die folgenden Daten ein, und klicken Sie auf Erstellen.

  • Zonenname: Geben Sie oci-thales.lab ein.
  • Compartment: Wählen Sie das richtige Compartment aus.

  

• Klicken Sie auf die Zone.

  

• Klicken Sie auf Datensätze verwalten.

  

• Klicken Sie auf Datensatz hinzufügen.

  

• Um A Record für ctm1 zu erstellen, geben Sie die folgenden Informationen ein.

  • Datensatztyp: Geben Sie A - IPv4 address ein.
  • Name: Geben Sie ctm1 ein.
  • TTL: Übernehmen Sie den Standardwert (z.B. 300).

  

• Geben Sie Private IP von Thales CipherTrust Manager in AMS als RDATA (IP-Adresse) ein, und klicken Sie auf Änderungen speichern.

  

• Erstellen Sie einen zweiten A-Datensatz für ctm2.

  • Datensatztyp: Geben Sie A - IPv4 address ein.
  • Name: Geben Sie ctm2 ein.
  • TTL: Übernehmen Sie den Standardwert (z.B. 300).

  

• Geben Sie Private IP von Thales CipherTrust Manager in ASH als RDATA (IP-Adresse) ein, und klicken Sie auf Änderungen speichern.

  

• Klicken Sie auf Änderungen veröffentlichen.

  

• Wiederholen Sie dieselben Schritte, die Sie für AMS jetzt in ASH ausgeführt haben, um die DNS-Namensauflösung in ASH zuzulassen.

  

Um zu prüfen, ob DNS wie erwartet funktioniert, stellen Sie eine SSH-Verbindung zu einer der Thales CipherTrust Manager-Instanzen her, und führen Sie ping ctm2.oci-thales.lab vom ersten Thales CipherTrust Manager aus (wird in AMS ausgeführt).

Der FQDN wird in die richtige IP-Adresse aufgelöst, und wenn RPC, Routing und Sicherheitslisten korrekt konfiguriert sind, ist der Ping erfolgreich.

Wiederholen Sie den Ping von CTM2 (wird in ASH ausgeführt), um die bidirektionale Auflösung zu bestätigen.

Aufgabe 7: Erste Thales CCKM Appliance als Certificate Authority (CA) konfigurieren

Wenn zum ersten Mal ein CipherTrust-Manager gestartet wird, wird automatisch eine neue lokale CipherTrust Manager Root CA generiert. Diese CA wird verwendet, um anfängliche Serverzertifikate für die im System verfügbaren Schnittstellen auszugeben. Es besteht also keine Notwendigkeit, ein neues zu schaffen.

Hinweis: Stellen Sie sicher, dass Sie sich im AMS Thales CipherTrust Manager befinden.

• Klicken Sie auf CA, und wählen Sie Lokal aus.

• Prüfen Sie die lokal automatisch generierte CA (CipherTrust Manager Root CA), mit der CSRs erstellt und signiert werden.

Die folgende Abbildung zeigt den aktuellen Stand unseres Deployments.

‌

Aufgabe 8: CSR für Thales CCKM Appliances erstellen und von der CA signieren

Wenn sowohl CyberTrust Manager-Appliances bereitgestellt als auch DNS konfiguriert sind, ist es an der Zeit, eine sichere, zertifikatbasierte Kommunikation zwischen ihnen zu ermöglichen. Da AMS Thales CipherTrust Manager und ASH als CA konfiguriert sind, verwenden wir den AMS Thales CipherTrust Manager, um Zertifikate für beide Appliances zu generieren und zu signieren.

• Die allgemeinen Schritte sind:

  • Generieren Sie Certificate Signing Requests (CSRs) für Thales CipherTrust Manager (AMS und ASH) im AMS Thales CipherTrust Manager.

  • Verwenden Sie die AMS Thales CipherTrust Manager-CA, um beide CSRs zu signieren.

  • Installieren Sie das signierte Zertifikat auf jedem Thales CipherTrust Manager.

Dadurch wird sichergestellt, dass die gesamte Thales CipherTrust Manager-zu-Thales CipherTrust Manager-Kommunikation vertrauenswürdig und verschlüsselt ist. Dies ist eine wichtige Anforderung für die Clusterbildung und den sicheren API-Zugriff.

Hinweis: Führen Sie diese Schritte nur im AMS Thales CipherTrust Manager aus.

• Melden Sie sich bei der Thales CipherTrust Manager AMS Console an.

• Navigieren Sie zu CA, und klicken Sie auf CSR-Generator.

• Geben Sie die folgenden Informationen ein, und klicken Sie auf CSR generieren und Private Key herunterladen.

  • Wählen Sie Generischer CSR aus.
  • Allgemeiner Name: Geben Sie den FQDN des Thales-Managers CipherTrust ein. Beispiel: ctm1.oci-thales.lab.
  • Anzeigename: Geben Sie einen Namen ein. Beispiel: CTM1 (AMS).
  • Algorithmus: Wählen Sie ECDSA aus.
  • Größe: Wählen Sie 256 aus.
  • Alternativer Themenname: Geben Sie hier auch den FQDN an. Beispiel: ctm1.oci-thales.lab.

  Hinweis: Der Private Key wird automatisch heruntergeladen.

  

• Klicken Sie auf CSR herunterladen, um die generierte Datei .csr herunterzuladen und zu speichern.

  

• Wiederholen Sie die gleichen Schritte (noch auf der Thales CipherTrust Manager AMS CA).

• Geben Sie die folgenden Informationen ein, und klicken Sie auf CSR generieren und Private Key herunterladen.

  • Wählen Sie Generischer CSR aus.
  • Allgemeiner Name: Geben Sie den FQDN des Thales-Managers CipherTrust ein. Beispiel: ctm1.oci-thales.lab.
  • Anzeigename: Geben Sie einen Namen ein. Beispiel: CTM2 (AMS).
  • Algorithmus: Wählen Sie ECDSA aus.
  • Größe: Wählen Sie 256 aus.
  • Alternativer Themenname: Geben Sie hier auch den FQDN an. Beispiel: ctm2.oci-thales.lab.

  Hinweis: Der Private Key wird automatisch heruntergeladen.

  

• Klicken Sie auf CSR herunterladen, um die generierte Datei .csr herunterzuladen und zu speichern.

  

Um die generierten Certificate Signing Requests (CSRs) und Private Keys zu verfolgen, sollten Sie eine saubere Ordnerstruktur auf Ihrem lokalen Rechner oder einen sicheren Admin-Server erstellen. Hier ist eine einfache Beispielstruktur:

• Navigieren Sie zu CA, Lokal, und wählen Sie die CA aus.

  

• Klicken Sie auf CSR hochladen.

  

• Verwenden Sie den FQDN des Managers von Thales CipherTrust (Beispiel: ctm1.oci-thales.lab) als Anzeigename, und kopieren Sie den Inhalt des generierten CSR in das Feld CSR.

  

• Wählen Sie Server als Zertifikatszweck aus, und klicken Sie auf Zertifikat ausstellen.

  

• Klicken Sie auf die drei Punkte am Ende des signierten Zertifikateintrags, und klicken Sie auf Herunterladen, um das signierte Zertifikat für CTM1 herunterzuladen.

  

• Wiederholen Sie die gleichen Schritte (noch auf der Thales CipherTrust Manager AMS CA).

• Verwenden Sie den FQDN des Managers von Thales CipherTrust (Beispiel: ctm2.oci-thales.lab) als Anzeigename, und kopieren Sie den Inhalt des generierten CSR in das Feld CSR.

  

• Wählen Sie Server als Zertifikatszweck aus, und klicken Sie auf Zertifikat ausstellen.

  

• Klicken Sie auf die drei Punkte am Ende des signierten Zertifikateintrags, und klicken Sie auf Herunterladen, um das signierte Zertifikat für CTM2 herunterzuladen.

  

• Benennen Sie die signierten Zertifikate um, und speichern Sie sie in der erstellten Ordnerstruktur.

  

Neben der Signierung der einzelnen Thales CipherTrust Manager-Zertifikate ist das CA-Root-Zertifikat ein wichtiger Bestandteil der Vertrauenskette. Dieses Root-Zertifikat bildet die Grundlage des Vertrauens für alle Zertifikate, die von Ihrem Thales CipherTrust Manager als CA ausgestellt wurden.

• Navigieren Sie zu CA, Lokal, klicken Sie auf die drei Punkte am Ende der Thales CipherTrust Manager-AMS-CA, und klicken Sie auf Herunterladen, um das Root-CA-Zertifikat der Thales CipherTrust Manager-AMS-CA herunterzuladen.

  

• Speichern Sie das heruntergeladene Stammzertifikat in der erstellten Ordnerstruktur.

  

• Im nächsten Schritt erstellen Sie eine vollständige Zertifikatskettendatei, die Ihr signiertes Zertifikat, das CA-Root-Zertifikat und Ihren Private Key in einer einzigen Datei bündelt.

  Dies wird von Anwendungen oder Appliances wie Thales CipherTrust Manager für eine nahtlose TLS-Konfiguration benötigt.

  -----BEGIN CERTIFICATE-----
  Signed CTM1 Cert by CA
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  Root CA Cert
  -----END CERTIFICATE-----
  -----BEGIN EC PRIVATE KEY-----
  Private Key
  -----END EC PRIVATE KEY-----
  

• Führen Sie diese Schritte sowohl für Thales CipherTrust-Manager aus, als auch speichern Sie die neu zusammengesetzten Zertifikatsdateien in der erstellten Ordnerstruktur.

  

• Nachdem Sie die signierten Zertifikate in der CA erstellt und die vollständigen Zertifikatskettendateien vorbereitet haben, laden Sie sie im nächsten Schritt in jede Thales CipherTrust Manager-Appliance hoch.

  Beginnen wir mit der ersten CTM1, die in AMS ausgeführt wird.

• Navigieren Sie zu Admin-Einstellungen, Schnittstellen, klicken Sie auf die drei Punkte der Weboberfläche, und wählen Sie Optionen für Erneuerungszertifikate aus.

  

• Wählen Sie Hochladen/Generieren aus, und klicken Sie auf OK.

  

• Laden Sie das vollständige Kettenzertifikat für CTM1 im PEM-Format hoch, und klicken Sie auf Zertifikat hochladen.

  

• Klicken Sie erneut auf die drei Punkte der Weboberfläche, und wählen Sie Optionen für Verlängerungszertifikate aus.

  

• Wählen Sie Anwenden aus, und klicken Sie auf OK.

  

• Klicken Sie auf Apply.

  

• Klicken Sie auf Seite "Services".

  

• Klicken Sie auf System Restart.

  

• Klicken Sie auf Services neu starten, um den Server und die Webservices neu zu starten und das neue Zertifikat zu aktivieren.

  

• Wiederholen Sie dieselben Schritte für CTM2, die in ASH ausgeführt wird.

• Um das neu signierte Zertifikat in Ihrer lokalen Umgebung mit Google Chrome zu testen, müssen Sie es und seine CA-Kette zuerst im vertrauenswürdigen Zertifikatspeicher Ihres Betriebssystems installieren.

  Dies liegt außerhalb des Anwendungsbereichs dieses Tutorials, aber wir zeigen Ihnen, wie wir die neuen Thales CipherTrust Manager-Zertifikate getestet haben, die von der Thales CipherTrust Manager AMS CA signiert wurden.

• Öffnen Sie die Google Chrome-Browsereinstellungen, navigieren Sie zu Datenschutz und Sicherheit, und klicken Sie auf Sicherheit.

  

• Klicken Sie auf Zertifikate verwalten.

  

• Klicken Sie auf Lokale Zertifikate, und klicken Sie im Abschnitt Benutzerdefiniert auf Von Ihnen installiert.

• Die vollständigen Kettenzertifikate und das Root-Zertifikat wurden bereits in das lokale Betriebssystem importiert.

  Hier können Sie auch die Zertifikate importieren. Mit dieser Schaltfläche Importieren gelangen Sie zu den Zertifikateinstellungen auf BS-Ebene.

  

• Da der DNS-Server nicht im Internet konfiguriert wurde, aktualisieren wir die lokale Datei /etc/hosts mit den manuellen Hosteinträgen, um die Zertifikate vom lokalen Rechner mit dem FQDN zu testen.

  

• Navigieren Sie mit Google Chrome zum CTM1-FQDN, und klicken Sie auf die Sicherheitseinstellungen.

  

• Klicken Sie auf Verbindung ist sicher.

  

• Klicken Sie auf Zertifikat ist gültig.

  

• Prüfen Sie die Details unter Ausgestellt an.

  

Aufgabe 9: Thales CCKM Appliance-Clustering konfigurieren

Clustering Thales CipherTrust Cloud Key Manager-(CCKM-)Appliances ermöglichen High Availability und Load Balancing für die Verwaltung von kryptografischen Schlüsseln. Dies gewährleistet einen kontinuierlichen Service und Fehlertoleranz in Ihrer Sicherheitsinfrastruktur.

Clustering wird vollständig über die Managementkonsole einer einzelnen (primären) Thales CipherTrust Manager-Appliance konfiguriert (in diesem Beispiel der Thales CipherTrust Manager, der in AMS ausgeführt wird). Verwenden Sie die Schnittstelle dieser Appliance, um das Cluster zu erstellen und andere Thales CipherTrust Manager-Appliances als Clusterknoten hinzuzufügen.

• Navigieren Sie zu Admin-Einstellungen, Cluster, und klicken Sie auf Cluster verwalten.

  

• Klicken Sie auf Cluster hinzufügen.

  

• Klicken Sie anschließend auf Weiter.

  

• Geben Sie den Hostnamen des AMS Thales CipherTrust Managers ein (CTM1 in AMS mit privater IP 10.222.10.111).

  Wir beabsichtigen nicht, ein Cluster über das Internet mit der öffentlichen IP zu verwenden (oder zu erstellen), daher verwenden wir die private IP-Adresse in beiden Feldern.

• Klicken Sie auf Cluster hinzufügen.

  

• Beachten Sie, dass dieser Rechner ein neues Cluster erstellt hat und Teil des Clusters ist.

  

• Klicken Sie in derselben AMS-CTM1 auf Cluster verwalten, und wählen Sie Knoten hinzufügen aus, um die ASH-Datei CTM2 hinzuzufügen.

  

• Geben Sie die ASH Thales CipherTrust Manager-IP-Adresse als Knoten an, der dem Cluster hinzugefügt werden soll. Hier können wir den DNS-Namen verwenden.

• Klicken Sie auf Knoten hinzufügen.

  

• Ein neues Browserfenster/eine neue Registerkarte wird für ASH CMT2 geöffnet. Wenn Sie nicht bei ASH CMT2 angemeldet sind, erhalten Sie möglicherweise zuerst eine Anmeldeaufforderung.

• Einige Clusterkonfigurationsaktivitäten werden im Hintergrund ausgeführt.

  

• Klicken Sie auf Beitreten, um den Beitritt zu bestätigen.

  

• Im Hintergrund werden weitere Clusterkonfigurationsaktivitäten ausgeführt.

  

• Klicken Sie auf Fertigstellen!, um die Meldung Erfolgreich zu bestätigen.

  

• Wenn das neu geöffnete Browserfenster/die neu geöffnete Registerkarte noch geöffnet ist, können Sie es manuell schließen.

  

• Klicken Sie in der AMS-Datei CTM1 zur Bestätigung auf Fertig.

  

• Zuerst wird der neu hinzugefügte Knoten (ASH CTM2) unten angezeigt. Warten Sie einige Minuten, damit das Cluster seine Präsenz erkennen kann.

  

• Möglicherweise wird auch oben auf dem Bildschirm eine Fehlermeldung angezeigt. Das bedeutet, dass sich das Cluster noch im Konfigurationsmodus befindet. Warten Sie einige Minuten, bis die Nachricht verschwindet.

  

Um zu prüfen, ob die Thales CipherTrust Manager-Clusterkonfiguration korrekt und fehlerfrei ist, können Sie CTM1 und CTM2 prüfen.

• Navigieren Sie in CTM1 zu Admin-Einstellungen, und klicken Sie auf Cluster.

  • Beachten Sie, dass die IP-Adresse 10.222.10.111 von diesem Server stammt (AMS CTM1).
  • Beachten Sie den anderen Knoten (10.111.10.32) vom Remoteserver (ASH CTM2).

  

• Navigieren Sie in CTM2 zu Admin-Einstellungen, und klicken Sie auf Cluster.

  • Beachten Sie, dass die IP-Adresse 10.111.10.32 von diesem Server stammt (ASH CTM2).

  • Beachten Sie den anderen Knoten (10.222.10.111) vom Remoteserver (AMS CTM1).

    

Die folgende Abbildung zeigt den aktuellen Stand unseres Deployments.

Nächste Schritte

In diesem Tutorial haben Sie erfolgreich zwei Thales CCKM Appliances in OCI eingerichtet, ein sicheres Cluster zwischen diesen erstellt und eine Appliance als CA konfiguriert. Sie haben eine hochverfügbare, sichere Schlüsselverwaltungsumgebung erstellt, indem Sie den Schritt-für-Schritt-Prozess vom Deployment der Appliances und der Konfiguration der Netzwerkinfrastruktur über das Erstellen und Signieren von CSRs bis hin zum Aktivieren von Clustering ausführen. Dieses Setup stellt robuste kryptografische Vorgänge mit zentralisierter Zertifikatsverwaltung sicher und optimiert die Sicherheit und betriebliche Resilienz in Ihrer OCI-Umgebung.

Wenn Sie Hold Your Own Key (HYOK) mit Thales CipherTrust Manager ohne OCI API Gateway-Option implementieren möchten, befolgen Sie dieses Tutorial: OCI Hold Your Own Key mit Thales CipherTrust Manager ohne OCI API Gateway einrichten.

Wenn Sie Hold Your Own Key (HYOK) mit Thales CipherTrust Manager mit der OCI API Gateway-Option implementieren möchten, befolgen Sie dieses Tutorial: OCI Hold Your Own Key mit Thales einrichten CipherTrust Manager mit OCI API Gateway.

Verwandte Links

• Thales CCKM Version 2.19: Oracle Cloud-Deployment

• Private DNS-Zone erstellen

• Thales CCKM Version 2.19: Zertifizierungsstelle

• Thales: CSR in der Konsole erstellen

• Thales: Zertifikatsanforderung mit einer lokalen CA signieren

• Thales CCKM Version 2.19: Erneuerung des Web Interface-Zertifikats

• Thales CCKM Version 2.19: Neue Clusterkonfiguration erstellen

Bestätigungen

• Autor - Iwan Hoogendoorn (Black Belt für Cloud-Netzwerke)

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority

G38084-01

Copyright ©2025, Oracle and/or its affiliates.