Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte durch die für Ihre Cloud-Umgebung spezifischen Werte.

Entrust KeyControl 5.4 mit Oracle Cloud VMware Solution konfigurieren

Einführung

Dieses Tutorial enthält einen Überblick über die Bereitstellung und Konfiguration der Entrust KeyControl 5.4-Lösung mit dem SDDC-(Oracle Cloud VMware Solution Software Defined Data Center-)Cluster. In diesem Tutorial werden die Schritte zur Bereitstellung, Konfiguration und Hervorhebung der "How-to"-Schritte beschrieben, die für die Verwendung von Entrust KeyControl mit Oracle Cloud VMware Solution erforderlich sind.

Oracle und VMware haben eine vollständig zertifizierte und unterstützte SDDC-Lösung namens Oracle Cloud VMware Solution entwickelt. Bei dieser Lösung wird Oracle Cloud Infrastructure (OCI) verwendet, um ein hochverfügbares VMware-SDDC zu hosten. Außerdem ermöglicht es die nahtlose Migration von On-Premise-VMware-SDDC-Workloads auf OCI.

Durch die Verschlüsselung von Workloads können Unternehmen ihre Daten schützen, selbst wenn die Daten in die falschen Hände fallen. Eine der Herausforderungen bei der Workload-Verschlüsselung besteht darin, die Verwaltung von Zehntausenden von Verschlüsselungsschlüsseln für Workloads, die sogar auf verschiedenen Plattformen gehostet werden können, zu skalieren.

Info zu Entrust KeyControl

Entrust KeyControl ermöglicht es Unternehmen, alle Verschlüsselungsschlüssel sicher und skalierbar zu verwalten, einschließlich der Häufigkeit, mit der sie rotiert und gemeinsam verwendet werden. Die Entrust KeyControl-Funktionen umfassen:

• VMware-zertifizierter Key Management Server (KMS) für:
  • VMware vSphere 6.5, 6.7 und 7.0
  • VMware vSphere Trust Authority 7.0
• Universal Key Management for Key Management Interoperability Protocol-(KMIP-)kompatible Verschlüsselungs-Agents
• Enterprise-Skalierbarkeit und -Performance
• Kann in einem Active/Active-High Availability-Cluster ausgeführt werden
• FIPS 140-2 Level 1-Validierung
• Nahtlose Integration mit nShield® FIPS 140-2 Level 3 HSM für höchste Sicherheit
• Vollständige Workload-Lebenszyklusverschlüsselung und richtlinienbasiertes Schlüsselmanagement, rollenbasierte Zugriffskontrolle und Verschlüsselung ohne Ausfallzeiten für Produkt-Workloads
• Multi-Cloud-Verschlüsselungslösung für Workloads

Voraussetzungen

• KeyControl OVA v5.4 zertifizieren
• Oracle Cloud VMware Solution Deployment mit VMware vSphere 6.5 oder höher
• 2 vCPU, 8 GB RAM, 60 GB Datenträger pro Entrust-Knoten KeyControl
• Informationen zur Netzwerkadresse wie:
• IP-Adresse (eine pro Knoten)
• Subnet Mask
• Gateway-Adresse
• DNS-Server-Informationen
• DNS hat den Hostnamen für jeden Knoten registriert

Zielsetzung

Stellen Sie Entrust KeyControl 5.4-Cluster mit Oracle Cloud VMware Solution zur Verwendung der Verschlüsselung in VMware-Workloads bereit, und konfigurieren Sie es.

Aufgabe 1: Erste Entrust-Appliance KeyControl bereitstellen

1. Melden Sie sich bei der Oracle Cloud VMware Solution Virtual Center Appliance (VCSA) an.

2. Klicken Sie mit der rechten Maustaste, und wählen Sie OVF-Vorlage bereitstellen aus.

   

3. Klicken Sie auf Dateien hochladen, navigieren Sie zu dem Verzeichnis, in dem Sie den OVA (Entrust KeyControl) platziert haben, wählen Sie ihn aus, und klicken Sie auf Öffnen.

   

4. Klicken Sie auf Weiter.

5. Geben Sie einen Namen für die Entrust KeyControl-Appliance ein, wählen Sie einen Deployment-Speicherort aus, und klicken Sie auf Weiter.

   

6. Wählen Sie das VMware-Cluster oder -Host vSphere aus, und klicken Sie auf Weiter.

   

7. Prüfen Sie die Details, und klicken Sie auf Weiter.

8. Akzeptieren Sie den Lizenzvertrag, und klicken Sie auf Weiter.

9. Wählen Sie die erforderliche Konfiguration aus der Liste, und klicken Sie auf Weiter.

   

10. Wählen Sie das entsprechende Speicher- und Datenträgerformat für die Appliance, und klicken Sie auf Weiter.

    

11. Wählen Sie das entsprechende Netzwerk, und klicken Sie auf Weiter.

    

12. Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Weiter.

    

13. Prüfen Sie den Zusammenfassungsbildschirm. Wenn alles korrekt ist, klicken Sie auf Fertig.

    

Sie haben den ersten Entrust-Knoten KeyControl erfolgreich bereitgestellt.

Aufgabe 2: Die zweite Entrust KeyControl Appliance bereitstellen

Hinweis:

Um Entrust KMS HA erreichen zu können, müssen Sie einen zweiten Keycontor-Knoten bereitstellen, um das HA-Design für Ihre KMS-Lösung zu konfigurieren. Führen Sie dieselben Schritte aus Aufgabe 1 erneut aus, und stellen Sie eine zweite virtuelle Entrust-Appliance KeyControl bereit.

Aufgabe 3: Erste Entrust-Appliance KeyControl konfigurieren

1. Suchen Sie die neu bereitgestellte Entrust KeyControl Appliance in VMware vCenter. Schalten Sie das Gerät ein, und öffnen Sie eine Konsole.

2. Legen Sie das Kennwort für den Benutzer des Befehlszeilenschnittstellen-(CLI-)Systemkonsolenaccounts htadmin für die Appliance fest.

3. Navigieren Sie mit der Tabulatortaste zu OK, und klicken Sie auf Eingabetaste.

   Hinweis:

   • Dieses Kennwort steuert den Zugriff auf die Systemkonsole von Entrust KeyControl, sodass Benutzer einige privilegierte administrative Aufgaben von Entrust KeyControl ausführen können.
   • Nachdem Sie auf OK geklickt haben, werden die Netzwerke und andere Subsysteme konfiguriert. Dieser Vorgang kann mehrere Minuten dauern.

   

4. Nach Abschluss des Setups wird in einem Fenster die Verwaltungs-IP-Adresse der Appliance angezeigt. Notieren Sie sich die Management-IP-Adresse, da Sie sie im nächsten Schritt benötigen. Klicken Sie auf OK, und drücken Sie die Eingabetaste.

Aufgabe 4: Erste Entrust-Appliance KeyControl mit WebGUI konfigurieren

1. Starten Sie einen Webbrowser, und navigieren Sie zur IP-Adresse oder zum vollqualifizierten Domainnamen der Management-IP-Adresse der ersten Entrust-Appliance KeyControl. Verwenden Sie den Standardbenutzernamen und das Standardpasswort für das secroot-Konto.

2. Akzeptieren Sie das EULA, indem Sie auf Ich stimme zu klicken.

3. Da dies der erste KeyControl-Knoten ist, klicken Sie auf Als Standalone-Knoten fortfahren.

   

4. Geben Sie ein neues Passwort für das secroot-Konto ein, achten Sie darauf, die Passwortkomplexitätsregeln zu befolgen, und klicken Sie dann auf Update Password.

   

5. Konfigurieren Sie die E-Mail- und Mailservereinstellungen, indem Sie die relevanten Informationen für Ihre E-Mail-Adresse und Ihren E-Mail-Server eingeben. Klicken Sie anschließend auf E-Mail-Einstellungen aktualisieren.

   

6. Stellen Sie auf der Seite Admin-Schlüssel herunterladen sicher, dass Sie den Text lesen und auf Herunterladen klicken.

   Warnung: Sie müssen den Admin-Schlüssel herunterladen und an einem sicheren Ort zur späteren Verwendung beibehalten. Wenn Sie nicht über den Admin-Schlüssel verfügen, können Sie die Appliance gegebenenfalls später wiederherstellen.

   

7. Wenn Sie eine Testversion von Entrust KeyControl Vitals ausführen, kann das Reporting nicht deaktiviert werden. Andernfalls können Sie Vitals Reporting deaktivieren, nachdem Sie eine erworbene Lizenz angewendet haben. Klicken Sie auf Fortfahren.

   

Die Haupt-WebGUI wird angezeigt. Sie haben die Konfiguration des ersten Knotens des Entrust KeyControl-Clusters erfolgreich abgeschlossen. Wechseln Sie zum nächsten Schritt, um den zweiten Knoten zum Cluster hinzuzufügen.

Aufgabe 5: Die zweite Entrust KeyControl-Appliance zum Cluster hinzufügen

1. Suchen Sie die zweite bereitgestellte Entrust KeyControl-Appliance in VMware vCenter. Schalten Sie sie ein, und öffnen Sie dann eine Konsole.

   • Legen Sie das Kennwort für das CLI-Systemkonsolekonto htadmin in der Appliance fest.
   • Nach Abschluss des Setups wird in einem Fenster die Verwaltungs-IP-Adresse der Appliance angezeigt. Notieren Sie sich die Management-IP-Adresse, da Sie sie im nächsten Schritt benötigen.

2. Starten Sie einen Webbrowser, und navigieren Sie zur IP-Adresse oder zum vollqualifizierten Domainnamen (FQDN) der Management-IP-Adresse der zweiten Appliance. Verwenden Sie den Standardbenutzernamen und das Standardpasswort für das secroot-Konto.

3. Akzeptieren Sie das EULA, indem Sie auf Ich stimme zu klicken.

4. Da dies die zweite Entrust KeyControl-Appliance ist, klicken Sie auf Vorhandenes Cluster verknüpfen.

   

5. Sie werden feststellen, dass der Workflow für die Konfiguration des zweiten Knotens ganz anders ist. Prüfen Sie die Informationen, und klicken Sie auf Fortfahren.

   

6. Klicken Sie auf CSR generieren und herunterladen. Dadurch wird eine .csr.pem-Datei im Verzeichnis Downloads gespeichert. Diese Datei benötigen wir in Schritt 10.

   

7. Klicken Sie auf Fortfahren.

   

8. An dieser Stelle müssen Sie ein neues Browserfenster oder eine neue Registerkarte öffnen und sich beim ersten Entrust-Knoten KeyControl anmelden.

   

9. Nachdem Sie sich beim ersten Entrust-Knoten KeyControl angemeldet haben, klicken Sie im oberen Menü auf Cluster. Klicken Sie als Nächstes auf Aktionen, und wählen Sie Knoten hinzufügen aus.

   

10. Klicken Sie auf Datei laden, und wählen Sie in Schritt 6 die Datei .csr.pem aus. Geben Sie als Nächstes eine Passphrase ein, die mindestens 12 Zeichen lang ist. Sie benötigen diese Passphrase in Schritt 13.

    • Klicken Sie auf Bundle speichern und herunterladen. Eine ZIP-Datei wird im Verzeichnis Downloads gespeichert. Die ZIP-Datei enthält sowohl ein verschlüsseltes SSL-Zertifikat im Format p12 als auch ein CA-Zertifikat im Pem-Format.

      

11. Klicken Sie auf OK, und wechseln Sie zurück zum Browserfenster oder zur Browserregisterkarte des zweiten Knotens. Sie werden dem Cluster hinzugefügt.

    

12. Klicken Sie auf Weiter.

    

13. Auf der Seite "Knoten":

    • Klicken Sie unter SSL-Zertifikat hochladen auf Datei laden, und wählen Sie das verschlüsselte SSL-Zertifikat aus. Das SSL-Zertifikat ist die Datei, die keine Pem-Erweiterung hat.

    • Klicken Sie unter CA-Zertifikat hochladen auf Datei laden, und wählen Sie das CA-Zertifikat aus. Dies ist die Datei mit der Dateiendung .pem (cacert.pem).

    • Geben Sie die Passphrase ein, die Sie in Schritt 9 erstellt haben.

    • Klicken Sie auf Join.

      

14. Der Verbindungsfortschritt zeigt die Schritte an, die zum Verbinden des Knotens mit dem Cluster erforderlich sind. Der zweite Knoten wird während dieses Prozesses neu gestartet.

    

15. Nachdem der Knoten erfolgreich neu gestartet wurde, klicken Sie auf Anmelden, und melden Sie sich beim neu verbundenen Knoten an. Verwenden Sie das neue Kennwort, das Sie während der Konfiguration des ersten Entrust-Knoten KeyControl erstellt haben.

    

Hinweis: Nachdem Sie sich bei dem zweiten Knoten angemeldet haben, werden Sie feststellen, dass die Clusterschaltfläche im oberen Menü die Zahl 2 mit einem grünen Hintergrund anzeigt. Klicken Sie auf Cluster, um alle Knoten im Cluster anzuzeigen.

Sie haben erfolgreich ein 2-Knoten-Entrust-KeyControl-KMS-Cluster erstellt.

Verwandte Links

• Oracle Cloud VMware Solution
• Oracle Cloud-VMware Solution-Bereitstellung
• VMware vSphere Trust Authority
• Entrust KeyControl-Funktionen
• Entrust KeyControl OVA v5.4 Testversion
• Entrust KeyControl YouTube-Playlist

Bestätigungen

Autor - Eran Maor (Principal Cloud Solution Architect)

Weitere Lernressourcen

Sehen Sie sich andere Übungen auf der Website docs.oracle.com/learn an, oder greifen Sie auf Inhalte zu, die Sie über den Oracle Learning-Kanal YouTube benötigen. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie unter Oracle Help Center.

---

Titel und Copyright-Informationen

Configure Entrust KeyControl 5.4 with Oracle Cloud VMware Solution

F58699-01

June 2022

Copyright © 2022, Oracle and/or its affiliates.