Certificados SSL del equilibrador de carga
En Compute Cloud@Customer, puede importar y gestionar certificados SSL mediante el servicio de equilibrio de carga. El servicio no genera ningún certificado.
Un certificado SSL puede ser un certificado emitido por un proveedor como VeriSign o GoDaddy, o un certificado autofirmado que genere con una herramienta como OpenSSL o Let's Encrypt.
Puede utilizar un certificado SSL personalizado y autofirmado. Sin embargo, para entornos de producción, Oracle recomienda utilizar un certificado SSL emitido por una autoridad de certificación, lo que reduce el riesgo de un ataque "man-in-the-middle".
Si configura HTTPS o SSL para un listener, se debe asociar un certificado de servidor SSL al equilibrador de carga. Un certificado permite al equilibrador de carga terminar la conexión y descifrar las solicitudes entrantes antes de transferirlas a los servidores backend. Se pueden aplicar las siguientes configuraciones SSL al equilibrador de carga:
- Terminación de SSL: el equilibrador de carga gestiona el tráfico SSL entrante y transfiere la solicitud no cifrada a un servidor backend.
- SSL punto a punto: el equilibrador de carga finaliza la conexión SSL con un cliente de tráfico entrante y, a continuación, inicia una conexión SSL en un servidor backend.
- Túnel de SSL: si configura el listener del equilibrador de carga para el tráfico TCP, el equilibrador de carga realiza túneles de las conexiones SSL entrantes a los servidores de aplicaciones.
El equilibrio de carga soporta el protocolo TLS 1.2 con una configuración por defecto de cifrado sólido.
Para utilizar SSL estándar con un equilibrador de carga y sus recursos, debe proporcionar un certificado. Para utilizar TLS mutua (mTLS) con el equilibrador de carga, debe agregar uno o más grupos de autoridades de certificación (paquetes de CA) al sistema. Un grupo de certificados incluye el certificado público, la clave privada correspondiente y cualquier certificado de autoridad de certificación (CA) asociado. Le recomendamos que cargue los grupos de certificados antes de crear los listeners o juegos de backends con los que desea asociarlos. Solo se aceptan certificados X.509 en formato PEM.
Los equilibradores de carga suelen utilizar certificados de dominio único. Sin embargo, los equilibradores de carga con listeners que incluyen la configuración de enrutamiento de solicitudes pueden necesitar un certificado de nombre de asunto alternativo (SAN) (también denominado certificado de varios dominios) o un certificado comodín. El servicio de equilibrio de carga admite todos estos tipos de certificado.