Equilibrador de carga - Certificados SSL gestionados
Utilice certificados de capa de socket (SSL) seguros con el equilibrador de carga mediante el servicio Load Balancer.
En este tema se describe cómo crear y gestionar certificados SSL en el servicio Load Balancer. Le recomendamos que utilice el servicio Certificates para crear y gestionar certificados. Consulte Certificados para obtener más información.
Puede ver los certificados gestionados por servicios de certificados que utiliza un equilibrador de carga a través de la consola. Consulte Listado de certificados gestionados por el servicio para obtener más información.
Para utilizar SSL estándar con un equilibrador de carga y sus recursos, debe proporcionar un certificado.
Para utilizar TLS mutua (mTLS) con el equilibrador de carga, debe agregar una o más autoridades de certificación (CA) o grupos de autoridades de certificación (grupos de CA) al sistema.
- Autoridad de certificado: autoridad de certificado privada capaz de emitir certificados de hoja. Para un equilibrador de carga y sus recursos asociados, la autoridad de certificación es un almacén de confianza creado dentro de un servicio de certificados y que no se puede cargar el usuario.
- Grupo de autoridades de certificación: recopilación de certificados públicos de CA que puede cargar como grupo agregado. Los grupos de CA no incluyen certificados de clave privada ni de hoja.
Le recomendamos que cargue los paquetes de certificados que desee utilizar antes de crear los listeners o los conjuntos de backends con el que desee asociarlos.
Puede realizar las siguientes tareas de certificados SSL:
Configurar el manejo de SSL para un equilibrador de carga.
Muestre los certificados de un equilibrador de carga.
Cree un nuevo certificado para un equilibrador de carga.
Obtener detalles de un certificado.
Actualizar un certificado que caduca.
Suprimir un certificado de un equilibrador de carga
Los equilibradores de carga suelen utilizar certificados de dominio único. Sin embargo, los equilibrio de carga con listeners que incluyen la configuración del direccionamiento de solicitudes (consulte Solicitud del direccionamiento) pueden requerir un certificado del nombre de asunto alternativo (SAN) (también denominado certificado multidominio) o un certificado comodín. El servicio de equilibrador de carga admite todos estos tipos de certificados.
- El servicio del equilibrador de carga no genera certificados SSL. Solo puede importar un certificado existente que ya le pertenezca. El certificado puede ser uno emitido por un proveedor, como Verisign o GoDaddy. También puede utilizar un certificado autofirmado generado con una herramienta de código abierto, como OpenSSL o Let's Encrypt. Consulte la documentación de la herramienta correspondiente para obtener instrucciones sobre cómo generar un certificado firmado automáticamente.
- Si envía un certificado autofirmado para SSL de backend, deberá enviar el mismo certificado en el campo Certificado de CA correspondiente.
Oracle Cloud Infrastructure acepta certificados de tipo x. 509 solo en formato PEM. A continuación, se muestra un ejemplo de certificado codificado en PEM:
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----Conversión a formato PEM
Si recibe certificados y claves en formatos distintos a PEM, debe convertirlos para poder cargarlos en el sistema. Puede utilizar OpenSSL para convertir certificados y claves al formato PEM. En el siguiente ejemplo, los comandos proporcionan orientación.
Certificado o cadena de certificados de DER a PEM
openssl x509 -inform DER -in <certificate_name>.der -outform PEM -out <certificate_name>.pemClave privada de DER a PEM
openssl rsa -inform DER -in <private_key_name>.der -outform PEM -out <private_key_name>.pemGrupo de certificados de PKCS#12 (PFX) a PEM
openssl pkcs12 -in <certificate_bundle_name>.p12 -out <certificate_bundle_name>.pem -nodesPaquete de certificados de PKCS#7 a PEM
openssl pkcs7 -in <certificate_bundle_name>.p7b -print_certs -out <certificate_bundle_name>.pemConfiguración de la verificación de certificados de peer
La verificación de certificados de peer se utiliza para la autenticación de cliente. La profundidad de verificación del certificado de peer es el número de certificados de la cadena que se deben verificar para la autenticación del cliente.
A continuación, se indican los valores esperados que deben definirse:
- Un certificado intermedio, certificado de cliente, certificado raíz - 2
- Certificado de cliente, certificado raíz - 1s
Para decidir si la verificación de certificado de peer está configurada incorrectamente, tenga en cuenta lo siguiente:
- El cliente indica que no puede verificar el certificado y genera un fallo en el establecimiento de comunicación SSL del cliente. Este mensaje de error varía según el tipo de cliente.
- En los logs del equilibrador de carga, aparece el siguiente error:
Client %s has SSL certificate verify error - Use la utilidad OpenSSL para ejecutar el siguiente comando:
openssl verify -verbose -CAfile RootCert.pem Intermediate.pemSe produce un error que muestra a qué profundidad se produce el fallo de validación:
error 20 at 0 depth lookup:unable to get local issuer certificate
Para resolver esta situación, proporcione la profundidad de certificado correcta y confirme que el certificado de cliente y el certificado de la autoridad de certificación coinciden y que están en el orden correcto.
Carga de cadenas de certificados
Si tiene varios certificados que forman una sola cadena de certificación (por ejemplo, cualquier certificado de autoridad de certificación intermedia), incluya todos los certificados relevantes en un archivo en el orden correcto antes de cargarlos en el sistema. El orden correcto comienza con el certificado firmado directamente por la autoridad de certificación raíz de confianza en la parte inferior de la lista. Los certificados adicionales se pegan encima del certificado firmado.
Combine los archivos del certificado del servidor (SSL_Certificate.crt) y del certificado de autoridad de certificación intermedio (intermediateCA.crt) en un único archivo concatenado.
Para obtener un único archivo concatenado a partir del certificado SSL y el certificado de autoridad de certificación intermedio, abra un símbolo del sistema y ejecute el siguiente comando:
cat ssl_certificate.crt IntermediateCA.crt >> certbundle.pemEn el siguiente ejemplo de un archivo de cadena de certificados concatenado se incluyen cuatro certificados:
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----Envío de claves privadas
Se recomienda una longitud mínima de 2048 bits para su clave privada de RSA.
Si su clave privada devuelve un error, los tres motivos más comunes son:
-
Ha proporcionado una frase de contraseña incorrecta.
-
La clave privada tiene un formato incorrecto.
-
El sistema No reconoce el método de cifrado utilizado para la clave.
Par de claves no coincidente
Si recibe un error relacionado con que la clave privada y el clave pública no coinciden, utilice los siguientes comandos de OpenSSL para confirmar que son parte del mismo par:
openssl x509 -in certificate_name.crt -noout -modulus | openssl sha1
openssl rsa -in private_key.key -noout -modulus | openssl sha1Confirme que los valores hash de sha1 devueltos coinciden exactamente. Si son diferentes, la clave privada proporcionada no se utiliza para firmar el certificado público y no se puede utilizar.
Consistencia de clave privada
Si recibe un error relacionado con la clave privada, puede utilizar OpenSSL para comprobar su consistencia:
openssl rsa -check -in <private_key>.pemEste comando verifica que la clave está intacta, que la frase de contraseña es correcta y el archivo contiene una clave privada RSA válida.
Descifrado de una clave privada
Si el sistema No reconoce la tecnología de cifrado utilizada para su clave privada, descifra la clave. Cargue la versión descifrada de la clave con el paquete de certificados. Puede utilizar OpenSSL para descifrar una clave privada:
openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pemConfiguración de manipulación de SSL
Obtenga información sobre la configuración del manejo de SSL para un recurso de Load Balancer.
Puede realizar las siguientes tareas de manejo de SSL para un equilibrador de carga:
- Cesar el SSL en el equilibrador de carga. Esta configuración es SSL de frontend. El equilibrador de carga puede aceptar tráfico cifrado de un cliente. No existe ningún cifrado de tráfico entre el equilibrador de carga y los servidores de backend.
- Implementar SSL entre el equilibrador de carga y los servidores backend. Esta configuración es SSL de backend. El equilibrador de carga no acepta tráfico cifrado de los servidores cliente. El tráfico entre el equilibrador de carga y los servidores backend está cifrado.
- Implantar SSL de punto a punto. El equilibrador de carga puede aceptar tráfico cifrado SSL de los clientes y cifrar el tráfico a los servidores backend.
Cesar SSL en el equilibrador de carga
Para cesar SSL en el equilibrador de carga, debe crear un listener en un puerto como el 443 para, a continuación, asociar un grupo de certificados cargado al listener. Consulte Creación de un listener de equilibrador de carga para obtener más información.
Implementación de SSL de backend
Para implementar SSL entre el equilibrador de carga y los servidores backend, debe asociar un grupo de certificados cargado al juego de backends. Consulte Creación de un juego de backends de equilibrador de carga para obtener más información.
- Si se desea tener más del servidor backend en el conjunto de backends, firme sus servidores backend con un certificado de CA intermedio. El certificado de CA intermedio se debe incluir como parte del grupo de certificados.
- Los servicios de backend deben poder aceptar y cesar SSL.
Implantación de SSL de punto a punto
Para implantar SSL de punto a punto, debe asociar los grupos de certificados cargados al listener y al juego de backends. Consulte Creación de un listener de equilibrador de carga y Creación de un juego de backends de equilibrador de carga para obtener más información.
Visualización de lista de certificados gestionados por el servicio
Ver una lista de los certificados gestionados por el servicio Certificates para un equilibrador de carga.
Los certificados del equilibrador de carga gestionados por el servicio Certificates solo se pueden mostrar en la consola del equilibrador de carga. Para realizar otras tareas del servicio Certificates, como crear, editar y suprimir un certificado, consulte Certificates.
Para ver los certificados SSL creados mediante el servicio Load Balancer, consulte Listado de certificados de equilibrador de carga.
Uso de la consola
Filtrado de resultados de lista
Utilice filtros para limitar los certificados gestionados por el servicio Certificates de la lista. Realice una de las siguientes acciones según las opciones que vea:
- En el cuadro Buscar y filtrar situado encima de la tabla de lista, seleccione uno o más filtros y especifique los valores que desea utilizar para acotar la lista. En general, los filtros corresponden a las columnas que se muestran en la tabla de lista, aunque algunos filtros representan atributos que no se muestran en la tabla. El filtro Compartimento siempre se muestra junto a Filtros aplicados.
- En la parte izquierda de la página de lista, seleccione un valor de uno de los filtros disponibles, como compartimento, estado o etiquetas.
Cambie el orden de los elementos de la tabla de lista mediante los iconos de ordenación situados junto a los nombres de columna.
Para obtener información sobre la búsqueda de recursos y la gestión de las columnas de la tabla de lista, si esas funciones están disponibles, consulte Lista de recursos.
Acciones
En la tabla de lista, seleccione el nombre de un certificado gestionado por el servicio Certificates para abrir su página de detalles, donde puede ver su estado y realizar otras tareas.