1. Aplicaciones web seguras alojadas en Oracle Cloud VMware Solution con certificados de OCI
  2. Configurar

Configurar

Obtenga información sobre los pasos de configuración necesarios para utilizar certificados X509 en un equilibrador de carga frente al entorno VMware.

Realice las siguientes actividades.

  1. Crear certificados.
  2. Conecte la carga de trabajo del SDDC con LBaaS.
  3. Utilice los certificados de OCI LBaaS.

Crear grupo dinámico

Se crea un grupo dinámico para permitir que los certificados de OCI (la solución de gestión de certificados) accedan a las claves de OCI Vault.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Identidad y seguridad.
  2. En Identidad, haga clic en Dominios.
  3. Haga clic en el enlace Por defecto.
  4. En el menú de la izquierda, haga clic en Grupos dinámicos.
  5. Haga clic en el botón Crear grupo dinámico.
  6. En el campo Nombre, introduzca Dynamic-group-cert-authority.
  7. En el campo Regla 1, introduzca resource.type = 'certificateauthority'.
  8. Haga clic en el botón Crear.
Se crea el grupo Dynamic-group-cert-authority.

Creación de una Política

La política permite al grupo dinámico acceder a las claves desde el almacén para poder crear una autoridad de certificación. Opcionalmente, también puede permitir a un grupo de usuarios gestionar certificados de OCI.

Una política puede tener varias sentencias. Según el diseño, todas las sentencias se pueden incluir en una o varias políticas. Una política tiene dos partes: permitir que el servicio de certificados acceda a la clave y cree certificados, y que un usuario gestione certificados de OCI.
  1. En la consola de OCI, haga clic en el menú y, a continuación, en Identidad y seguridad.
  2. En Identidad, haga clic en Políticas.
  3. Haga clic en el botón Crear política.
  4. En el campo Nombre, introduzca Cert-Auth-Ocvs.
  5. En el campo Descripción, introduzca OCVS.
  6. Haga clic en el conmutador Mostrar editor manual.
  7. En el campo Creador de políticas, introduzca: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. Haga clic en Create.
    Se crea la política Cert-Auth-Ocvs.

Creación de un almacén

Una vez definidas las políticas, se puede crear una autoridad de certificación privada, que utilizará la clave almacenada en OCI Vault.

Si ya tiene un almacén, puede omitir estos pasos y continuar con la siguiente sección.
  1. En la consola de OCI, haga clic en el menú y, a continuación, en Identidad y seguridad.
  2. En Gestión de claves y gestión de secretos, haga clic en Almacén.
  3. Haga clic en el botón Crear almacén.
  4. En el campo Crear en compartimento, asegúrese de que ocvs está seleccionado.
  5. En el campo Nombre, introduzca WebCert.
  6. Haga clic en el botón Crear almacén.
    Se crea el almacén WebCert.

Creación de una clave maestra y una clave de cifrado

Se crea la clave maestra, la clave privada de la autoridad de certificación. OCI Certificates solo soporta claves almacenadas en HSM y no en la sección de software de OCI Vault.

El almacén WebCert debe haberse creado y su estado debe estar activo antes de seguir estos pasos.
  1. En la consola de OCI, haga clic en el menú y, a continuación, en Gestión de claves y gestión de secretos.

    Note:

    Si sigue la tarea anterior, ya debería ver la pantalla Vault (Almacén).
  2. Haga clic en el enlace WebCert.
  3. Haga clic en el botón Crear clave.
  4. En Modo de protección, asegúrese de que HSM esté seleccionado.
  5. En el campo Nombre, introduzca OCVS.
  6. En Unidad de clave: algoritmo, seleccione RSA.
  7. Haga clic en el botón Crear clave.
Se crean la clave maestra y las claves de cifrado.

Creación de una autoridad de certificación

Una vez que se crea el almacén y se almacena la clave, se puede crear la autoridad de certificación privada. Si esto falla, es posible que las políticas no sean correctas o que se puedan superar los límites de servicio.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Identidad y seguridad.
  2. En Certificados, haga clic en Autoridades de certificación.
  3. Haga clic en el botón Create Certificate Authority.
  4. En el campo Nombre, introduzca OCVS.
  5. Haga clic en el botón Siguiente.
  6. En el campo Nombre común, introduzca ocvs.local.
  7. Haga clic en el botón Siguiente, Siguiente y, a continuación, en Siguiente.
  8. En la página Configuración de revocación, active Omitir revocación.
  9. Haga clic en el botón Siguiente.
  10. Revise el resumen y, a continuación, haga clic en el botón Create Certificate Authority.
  11. Haga clic en el enlace Cerrar.
Se crea la autoridad de certificación OCVS.

Note:

OCI Certificates proporciona a las organizaciones capacidades de emisión, almacenamiento y gestión de certificados. Consulte Explorar más para obtener más información sobre cómo gestionar los certificados.

Emitir un certificado

Emita un certificado SSL/TLS que se utilizará para verificar la identidad y proteger la comunicación de red.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Certificados en Certificados.

    Note:

    Si sigue la tarea anterior, ya debería ver la pantalla Certificate Authorities (Autoridades de certificado).
  2. Haga clic en el enlace OCVS.
  3. Haga clic en el botón Emitir certificado.
  4. En el campo Nombre, introduzca ocvssecurity.
  5. Haga clic en el botón Siguiente.
  6. En el campo Nombre común, introduzca ocvs.local.
  7. Haga clic en el botón Siguiente.
  8. En Tipo de perfil de certificado, seleccione Servidor TLS.
  9. En No válido después de, haga clic en el botón de calendario y seleccione una fecha.
  10. Haga clic en el botón Siguiente y, a continuación, vuelva a Siguiente.
  11. Haga clic en el botón Crear certificado.
Se crea el certificado OCVS.

Configurar conectividad a recursos de la VCN

Active la comunicación entre el segmento NSX donde se despliegan los servidores web y la subred pública de OCI donde se desplegará el equilibrador de carga en el siguiente paso.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Híbrido.
  2. En Solución VMware, haga clic en Centros de datos definidos por software.
  3. Haga clic en el botón Configurar conectividad a recursos de la VCN.
  4. En el campo CIDR de carga de trabajo de SDDC, introduzca la dirección IP del segmento NSX del servidor web (por ejemplo, 192.168.10.0/24).
  5. Haga clic en el botón Agregar subredes.
  6. Haga clic en la casilla de control situada junto a la subred pública.
  7. Haga clic en el botón Agregar subredes.
  8. Haga clic en el botón Siguiente.
Se configura la conectividad a los recursos de VCN.

Creación y despliegue de un equilibrador de carga

Cree un equilibrador de carga de OCI que resida frente a la infraestructura de OCVS.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Red.
  2. En Equilibradores de carga, haga clic en Equilibrador de carga.
  3. Haga clic en el botón Crear equilibrador de carga.
  4. En Netwok virtual en la nube en Ocvs, seleccione OCVS-INTEL-VCN.
  5. En Subred en ocv, seleccione Pública (regional).
  6. Haga clic en el botón Siguiente y, a continuación, vuelva a Siguiente.

    Note:

    Los backends se agregarán más adelante.
  7. En Certificado en OCV, seleccione ocvssecurity.
  8. Haga clic en el botón Siguiente.
  9. En Grupo de logs, seleccione el grupo de logs indicado o uno que ya se haya creado.

    Note:

    Se necesita un grupo de logs para almacenar los archivos log.
  10. Haga clic en el botón Enviar.
  11. Haga clic en el botón Go to smart check.

    Note:

    Aparece la advertencia de comprobación inteligente porque anteriormente omitimos agregar el backend.
  12. En la esquina inferior izquierda, en Recursos, haga clic en el enlace Juegos de backends.
  13. En Juegos de backends, haga clic en el enlace del backend (por ejemplo, bs_lb_2023-1003-1521).

    Note:

    El equilibrador de carga se debe crear y su estado se debe definir en Activo.
  14. En Recursos, haga clic en el enlace Juegos de backends.
  15. En Juegos de backends, haga clic en el enlace del backend (por ejemplo, bs_lb_2023-1003-1521).
  16. En Recursos, haga clic en el enlace Backends.
  17. Haga clic en el botón Agregar backend.
  18. Haga clic en el botón de radio Direcciones IP.
  19. En el campo Dirección IP, introduzca la dirección IP de los servidores web de Ubuntu.
  20. Haga clic en el botón Additional backend e introduzca la dirección IP de cada backend que agregue.
  21. Haga clic en el botón Agregar.
  22. Haga clic en el botón Cerrar.
Los servidores backend se despliegan en OCVS.

Compruebe la configuración

Compruebe la infraestructura compatible.

  1. En la consola de OCI, haga clic en el menú y, a continuación, en Red.
  2. En Equilibradores de carga, haga clic en Equilibrador de carga.
  3. En Dirección IP, copie la dirección IP pública del equilibrador de carga.
  4. Abra un nuevo separador del explorador y, a continuación, vaya a la URL https:// seguida de la dirección IP copiada.
Aparece la página de bienvenida de los servidores web instalados. Si se encuentra con problemas, pruebe lo siguiente:
  • Compruebe que el gateway de Internet está funcionando.
  • Compruebe que las tablas de enrutamiento pueden acceder a Internet.
  • Compruebe que los protocolos estén permitidos para las reglas de seguridad y los grupos de red.