Certificados SSL del equilibrador de carga
En Private Cloud Appliance, puede importar y gestionar certificados SSL mediante el servicio de equilibrio de carga. El servicio no genera ningún certificado.
Un certificado SSL puede ser un certificado emitido por un proveedor como VeriSign o GoDaddy, o un certificado autofirmado que se genera con una herramienta como OpenSSL o Let's Encrypt.
Puede utilizar un certificado SSL personalizado y autofirmado. Sin embargo, en el caso de los entornos de producción, Oracle recomienda utilizar un certificado SSL emitido por CA, lo que reduce el riesgo de un ataque de tipo "man-in-the-middle".
Si configura HTTPS o SSL para un listener, se debe asociar un certificado de servidor SSL al equilibrador de carga. Un certificado permite que el equilibrador de carga finalice la conexión y descifre las solicitudes entrantes antes que las transfiera a los servidores backend. Se pueden aplicar las siguientes configuraciones SSL al equilibrador de carga:
- Terminación de SSL: el equilibrador de carga gestiona el tráfico SSL saliente y transfiere la solicitud no cifrada a un servidor backend.
- SSL de punto a punto: el equilibrador de carga finaliza la conexión SSL con un cliente de tráfico entrante y, a continuación, inicia la conexión SSL a un servidor backend.
- Túnel SSL: si configura el listener del equilibrador de carga para el tráfico TCP, el equilibrador de carga túneles de conexiones SSL entradas a los servidores de aplicaciones.
El equilibro de carga soporta el protocolo TLS 1.2 con una configuración por defecto de cifrado sólido.
Para utilizar SSL estándar con un equilibrador de carga y sus recursos, debe proporcionar un certificado. Para utilizar TLS mutua (mTLS) con el equilibrador de carga, debe agregar uno o más grupos de autoridad de certificado (grupos deCA) al sistema. Un paquete de certificados incluye el certificado público, la clave privada correspondiente y cualquier certificado asociado de la autoridad de certificado (CA). Le recomendamos que cargue los paquetes de certificados antes de crear los listeners o juegos de backends a los que desea asociarlos. Solo se aceptan certificados X.509 en formato PEM.
Los equilibradores de carga suelen utilizar certificados de dominio único. Sin embargo, los equilibradores del proceso de carga con listeners que incluyen la configuración del enrutamiento de solicitudes pueden necesitar un certificado del nombre alternativo del asunto (SAN) (también denominado certificado del multidominio) o un certificado comodín. El servicio de equilibrio de carga admite todos estos tipos de certificado.