Acerca del despliegue seguro de certificados TLS

Esta solución proporciona un enfoque seguro, flexible y compatible para las organizaciones que necesitan utilizar certificados TLS de confianza en entornos en los que la inmutabilidad clave de Oracle Cloud Infrastructure Vault sería un bloqueador. Salva eficazmente la brecha entre los modelos de seguridad nativos de OCI y los requisitos de integración del mundo real en varios servicios de Oracle y no de Oracle.

Al implementar una comunicación TLS segura en servidores web o servidores de aplicaciones, es esencial tener acceso a los siguientes componentes:

  • El certificado TLS
  • La raíz y el intermedio (cadena de certificados)
  • La clave privada correspondiente

Oracle Cloud Infrastructure (OCI) ofrece servicios nativos de gestión de certificados que permiten la creación y la gestión del ciclo de vida de certificados destinados a su uso en servicios gestionados por OCI. En este modelo, las claves privadas se almacenan de forma segura en OCI Vault y no son accesibles para los usuarios finales ni los sistemas externos. Si bien esto mejora la seguridad, limita la flexibilidad en los escenarios en los que se requiere un certificado completo y control de claves, como el despliegue en servidores de aplicaciones externos o entornos híbridos. Representa un desafío al intentar utilizar la autoridad de certificación (CA) de certificados de OCI para sistemas que requieren acceso directo tanto al certificado como a la clave privada.

Esto se vuelve particularmente problemático cuando se integra con servicios como:

  • Oracle Analytics Cloud
  • Oracle Integration
  • Servidores web alojados en OCI Compute
  • Aplicaciones locales o perimetrales

Estas plataformas normalmente requieren un control total sobre el certificado TLS, incluida la capacidad de acceder a la clave privada, para admitir la comunicación segura y la terminación de sesiones SSL/TLS.

Este manual de soluciones presenta una solución de varios productos que aborda esta limitación al permitir el uso de la CA de OCI para entornos híbridos:

  • Genera una clave privada y una solicitud de firma de certificado (CSR) localmente, fuera de OCI.
  • A continuación, la autoridad de certificación de OCI Certificates firma la CSR y mantiene la confianza en el ecosistema de OCI.
  • El certificado firmado resultante se combina con la clave privada generada localmente y se despliega en cualquier servicio que lo requiera, ya sea en OCI, localmente o en otra nube.

En el siguiente diagrama se ilustra este flujo.


A continuación, se muestra la Descripción de Implement-oci-ca-ext.png
Descripción de la ilustración implement-oci-ca-ext.png

Este método es el mejor para:

  • Configuraciones no de producción en las que los certificados autofirmados rentables son suficientes.
  • Entornos que requieren control de claves privadas y de certificados (como servidores personalizados o integraciones locales).
  • Escenarios en los que los certificados gestionados por OCI (que ocultan las claves privadas) no son compatibles con sistemas externos.

Antes de empezar

Antes de empezar, necesita:

  • Un OCI Vault para almacenar de forma segura claves privadas configuradas en OCI.
  • Una autoridad de certificación (CA) de certificados de OCI configurada y totalmente funcional en OCI.
  • Acceso a la biblioteca OpenSSL en su máquina local, para que pueda generar su clave privada.

Acerca de los servicios y los roles necesarios

Esta solución requiere el siguiente servicio y rol:

  • Oracle Cloud Infrastructure

Este es el rol necesario para el servicio.

Nombre de servicio: Rol Necesario para...
Oracle Cloud Infrastructure: administrador Gestionar objetos en compartimentos y leer o gestionar certificados, cubos, almacenes y claves (consulte a continuación).

Puede utilizar una política simple para administradores de autoridad de certificación o configurar un administrador y una política de grupo dinámico para separar roles y responsabilidades y restringirlas por compartimento. Por ejemplo:

### Simple Policy for Tenant Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in tenancy
Allow group CertificateAuthorityAdmins to manage leaf-certificate-family in tenancy
Allow group CertificateAuthorityAdmins to read vaults in tenancy
Allow group CertificateAuthorityAdmins to read keys in tenancy
Allow group CertificateAuthorityAdmins to use key-delegate in tenancy
```

O:

### Policy for a Dynamic Group
```
Allow dynamic-group DynamicGroup to use keys in compartment DEF
Allow dynamic-group DynamicGroup to manage objects in compartment XYZ
```
### Policy for Compartment Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF
```

Consulte Productos, soluciones y servicios de Oracle para obtener lo que necesita.