1. Sichere Webanwendungen, die auf Oracle Cloud VMware Solution gehostet werden, mit OCI-Zertifikaten
  2. Konfigurieren

Konfigurieren

Erfahren Sie mehr über die erforderlichen Konfigurationsschritte für die Verwendung von X509-Zertifikaten auf einem Load Balancer vor der VMware-Umgebung.

Führen Sie die folgenden Aktivitäten aus.

  1. Zertifikate erstellen.
  2. Verbinden Sie die SDDC-Workload mit LBaaS.
  3. Verwenden Sie die Zertifikate in OCI LBaaS.

Dynamische Gruppe erstellen

Eine dynamische Gruppe wird erstellt, damit OCI Certificates (die Zertifikatsverwaltungslösung) auf Schlüssel in OCI Vault zugreifen können.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
  2. Klicken Sie unter Identität auf Domains.
  3. Klicken Sie auf den Link Standard.
  4. Klicken Sie links auf Dynamische Gruppen.
  5. Klicken Sie auf die Schaltfläche Dynamische Gruppe erstellen.
  6. Geben Sie im Feld Name Dynamic-group-cert-authority ein.
  7. Geben Sie im Feld Regel 1 resource.type = 'certificateauthority' ein.
  8. Klicken Sie auf die Schaltfläche Erstellen.
Die Gruppe Dynamic-group-cert-authority wird erstellt.

Erstellen Sie eine Policy

Die Policy ermöglicht der dynamischen Gruppe den Zugriff auf Schlüssel aus dem Vault, um eine Certificate Authority erstellen zu können. Optional kann es auch einer Gruppe von Benutzern ermöglichen, OCI-Zertifikate zu verwalten.

Eine Policy kann mehrere Anweisungen enthalten. Je nach Design können alle Anweisungen in eine oder mehrere Policys eingefügt werden. Eine Policy besteht aus zwei Teilen: dem Zertifikatsservice, auf den Schlüssel zuzugreifen und Zertifikate zu erstellen, und dem Benutzer, OCI-Zertifikate zu verwalten.
  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
  2. Klicken Sie unter Identität auf Policys.
  3. Klicken Sie auf die Schaltfläche Policy erstellen.
  4. Geben Sie im Feld Name Cert-Auth-Ocvs ein.
  5. Geben Sie in das Feld Beschreibung OCVS ein.
  6. Klicken Sie auf den Umschalter Manuellen Editor anzeigen.
  7. Geben Sie im Feld Policy Builder Folgendes ein: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. Klicken Sie auf Create.
    Die Policy Cert-Auth-Ocvs wird erstellt.

Vault erstellen

Nachdem die Policys definiert wurden, kann eine private Certificate Authority erstellt werden, die den in OCI Vault gespeicherten Schlüssel verwendet.

Wenn Sie bereits über einen Vault verfügen, können Sie diese Schritte überspringen und mit dem nächsten Abschnitt fortfahren.
  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
  2. Klicken Sie unter Key Management und Secret Management auf Vault.
  3. Klicken Sie auf die Schaltfläche Vault erstellen.
  4. Stellen Sie im Feld Erstellen in Compartment sicher, dass Ocvs ausgewählt ist.
  5. Geben Sie im Feld Name WebCert ein.
  6. Klicken Sie auf die Schaltfläche Vault erstellen.
    Der Vault WebCert wird erstellt.

Masterschlüssel und Verschlüsselungsschlüssel erstellen

Der Masterschlüssel, der private Schlüssel der Certificate Authority, wird erstellt. OCI-Zertifikate unterstützen nur Schlüssel, die in HSM und nicht im Softwareabschnitt von OCI Vault gespeichert sind.

Der Vault WebCert muss erstellt worden sein, und sein Status muss Aktiv sein, bevor Sie diese Schritte ausführen.
  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Key Management und Secret Management.

    Hinweis:

    Wenn Sie der vorherigen Aufgabe folgen, sollte bereits der Bildschirm Vault angezeigt werden.
  2. Klicken Sie auf den Link WebCert.
  3. Klicken Sie auf die Schaltfläche Schlüssel erstellen.
  4. Stellen Sie unter Schutzmodus sicher, dass HSM ausgewählt ist.
  5. Geben Sie im Feld Name OCVS ein.
  6. Wählen Sie unter Schlüsselausprägung: Algorithmus die Option RSA aus.
  7. Klicken Sie auf die Schaltfläche Schlüssel erstellen.
Der Masterschlüssel und die Verschlüsselungsschlüssel werden erstellt.

Certificate Authority erstellen

Nachdem der Vault erstellt wurde und den Schlüssel speichert, kann die private Certificate Authority erstellt werden. Wenn dies nicht erfolgreich ist, sind Policys möglicherweise nicht korrekt, oder die Servicelimits können überschritten werden.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Identität und Sicherheit.
  2. Klicken Sie unter Zertifikate auf Certificate Authoritys.
  3. Klicken Sie auf die Schaltfläche Create Certificate Authority.
  4. Geben Sie im Feld Name OCVS ein.
  5. Klicken Sie auf die Schaltfläche Weiter.
  6. Geben Sie im Feld Allgemeiner Name ocvs.local ein.
  7. Klicken Sie auf die Schaltfläche Weiter, Weiter, Weiter.
  8. Aktivieren Sie auf der Seite Widerrufskonfiguration die Option Widerruf überspringen.
  9. Klicken Sie auf die Schaltfläche Weiter.
  10. Prüfen Sie die Übersicht, und klicken Sie dann auf die Schaltfläche Create Certificate Authority.
  11. Klicken Sie auf den Link Schließen.
Die OCVS-Certificate Authority wird erstellt.

Hinweis:

OCI-Zertifikate bietet Organisationen Funktionen für die Ausstellung, Speicherung und Verwaltung von Zertifikaten. Weitere Informationen zum Verwalten Ihrer Zertifikate finden Sie unter Weitere Informationen.

Zertifikat ausstellen

Geben Sie ein SSL/TLS-Zertifikat aus, mit dem die Identität der Netzwerkkommunikation geprüft und gesichert wird.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann unter Zertifikate auf Zertifikate.

    Hinweis:

    Wenn Sie der vorherigen Aufgabe folgen, sollte bereits der Bildschirm Zertifikatsautoritäten angezeigt werden.
  2. Klicken Sie auf den Link OCVS.
  3. Klicken Sie auf die Schaltfläche Zertifikat ausstellen.
  4. Geben Sie im Feld Name ocvssecurity ein.
  5. Klicken Sie auf die Schaltfläche Weiter.
  6. Geben Sie im Feld Allgemeiner Name ocvs.local ein.
  7. Klicken Sie auf die Schaltfläche Weiter.
  8. Wählen Sie unter Zertifikatprofiltyp die Option TLS-Server aus.
  9. Klicken Sie unter Nicht gültig nach auf die Kalenderschaltfläche, und wählen Sie ein Datum aus.
  10. Klicken Sie auf die Schaltfläche Weiter und dann erneut auf Weiter.
  11. Klicken Sie auf die Schaltfläche Zertifikat erstellen.
Das OCVS-Zertifikat wird erstellt.

Verbindung zu VCN-Ressourcen konfigurieren

Aktivieren Sie die Kommunikation zwischen dem NSX-Segment, in dem die Webserver bereitgestellt werden, und dem öffentlichen OCI-Subnetz, in dem der Load Balancer im nächsten Schritt bereitgestellt wird.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Hybrid.
  2. Klicken Sie unter VMware-Lösung auf Softwaredefinierte Data Center.
  3. Klicken Sie auf die Schaltfläche Konnektivität zu VCN-Ressourcen konfigurieren.
  4. Geben Sie im Feld SDDC-Workload-CIDR die NSX-Segment-IP-Adresse des Webservers ein (Beispiel: 192.168.10.0/24).
  5. Klicken Sie auf die Schaltfläche Subnetze hinzufügen.
  6. Klicken Sie auf das Kontrollkästchen neben dem öffentlichen Subnetz.
  7. Klicken Sie auf die Schaltfläche Subnetze hinzufügen.
  8. Klicken Sie auf die Schaltfläche Weiter.
Die Konnektivität zu VCN-Ressourcen ist konfiguriert.

Load Balancer erstellen und bereitstellen

Erstellen Sie einen OCI-Load Balancer, der sich vor der OCVS-Infrastruktur befindet.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Networking.
  2. Klicken Sie unter Load Balancer auf Load Balancer.
  3. Klicken Sie auf die Schaltfläche Load Balancer erstellen.
  4. Wählen Sie unter Virtuelles Cloud-Netzwerk in Ocvs die Option OCVS-INTEL-VCN aus.
  5. Wählen Sie unter Subnetz in Ocvs die Option Öffentlich (regional) aus.
  6. Klicken Sie auf die Schaltfläche Weiter und dann erneut auf Weiter.

    Hinweis:

    Backends werden später hinzugefügt.
  7. Wählen Sie unter Zertifikat in Ocvs die Option ocvssecurity aus.
  8. Klicken Sie auf die Schaltfläche Weiter.
  9. Wählen Sie unter Loggruppe die angegebene Loggruppe oder eine bereits erstellte Loggruppe aus.

    Hinweis:

    Zum Speichern der Logdateien ist eine Loggruppe erforderlich.
  10. Klicken Sie auf die Schaltfläche Weiterleiten.
  11. Klicken Sie auf Gehe zu Smart Check.

    Hinweis:

    Die Smart Check-Warnung wird angezeigt, weil das Hinzufügen des Backends zuvor übersprungen wurde.
  12. Klicken Sie in der unteren linken Ecke unter Ressourcen auf den Link Backend-Sets.
  13. Klicken Sie unter Backend-Sets auf den Link des Backends (Beispiel: bs_lb_2023-1003-1521).

    Hinweis:

    Der Load Balancer muss erstellt und sein Status auf Aktiv gesetzt werden.
  14. Klicken Sie unter Ressourcen auf den Link Backend-Sets.
  15. Klicken Sie unter Backend-Sets auf den Link des Backends (Beispiel: bs_lb_2023-1003-1521).
  16. Klicken Sie unter Ressourcen auf den Link Backends.
  17. Klicken Sie auf die Schaltfläche Backends hinzufügen.
  18. Klicken Sie auf das Optionsfeld IP-Adressen.
  19. Geben Sie in das Feld IP-Adresse die IP-Adresse der Ubuntu-Webserver ein.
  20. Klicken Sie auf die Schaltfläche Zusätzliches Backend, und geben Sie die IP-Adresse für jedes Backend ein, das Sie hinzufügen.
  21. Klicken Sie auf die Schaltfläche Hinzufügen.
  22. Klicken Sie auf die Schaltfläche Schließen.
Die Backend-Server werden auf OCVS bereitgestellt.

Prüfen Sie die Konfiguration

Prüfen Sie die unterstützende Infrastruktur.

  1. Klicken Sie in der OCI-Konsole auf das Menü und dann auf Networking.
  2. Klicken Sie unter Load Balancer auf Load Balancer.
  3. Kopieren Sie unter IP-Adresse die öffentliche IP-Adresse des Load Balancers.
  4. Öffnen Sie eine neue Browserregisterkarte, und gehen Sie dann zu der URL https:// gefolgt von der kopierten IP-Adresse.
Die Willkommensseite der installierten Webserver wird angezeigt. Wenn Probleme auftreten, versuchen Sie Folgendes:
  • Prüfen Sie, ob das Internetgateway funktioniert.
  • Prüfen Sie, ob die Routingtabellen auf das Internet zugreifen können.
  • Prüfen Sie, ob die Protokolle für Sicherheitsregeln und Netzwerkgruppen zulässig sind.