Documentation sur Oracle Cloud Infrastructure

certificats SSL gérés par l'équilibreur de charge

Utilisez des certificats SSHL (Secure Sockets Layer) avec votre équilibreur de charge au moyen du service d'équilibreur de charge.

Note

Cette rubrique décrit comment créer et gérer des certificats SSL dans le service d'équilibreur de charge. Nous vous recommandons d'utiliser le service Certificats pour créer et gérer des certificats. Pour plus d'informations, voir Certificats.

Vous pouvez voir les certificats gérés par le service de certificat utilisés par un équilibreur de charge au moyen de la console. Pour plus d'informations, voir Liste des certificats gérés par le service de certificats.

Pour utiliser le protocole SSL standard avec un équilibreur de charge et ses ressources, vous devez fournir un certificat.

Pour utiliser le protocole TLS mutuel (mTLS) avec votre équilibreur de charge, vous devez ajouter une ou plusieurs autorités de certification ou un ou plusieurs ensembles d'autorité de certification à votre système.

  • Certificate Authority (Autorité de certification) : autorité de certification privée capable d'émettre des certificats feuilles. Pour un équilibreur de charge et les ressources associées, l'autorité de certification est un magasin de confiance créé dans le service de certificats. Elle n'est pas chargée par l'utilisateur.
  • Ensemble d'AC : Collection de certificats d'AC publics que vous pouvez charger en tant que groupe agrégé. Les ensembles d'autorité de certification n'incluent pas de certificats de clé privée ni de certificats feuilles.
Conseil

Nous vous recommandons de charger les ensembles de certificats à utiliser avant de créer les modules d'écoute ou les jeux dorsaux auxquels vous voulez les associer.

Vous pouvez effectuer les tâches de gestion des certificats SSL suivantes :

Configurer le traitement SSL pour un équilibreur de charge.

Listez les certificats définis pour un équilibreur de charge.

Créez un nouveau certificat pour un équilibreur de charge.

Obtenir les détails d'un certificat.

Mettre à jour un certificat arrivant à expiration.

Supprimez un certificat d'un équilibreur de charge.

Les équilibreurs de charge utilisent généralement des certificats de domaine uniques. Toutefois, les équilibreurs de charge ayant des modules d'écoute qui incluent la configuration d'acheminement des demandes (voir Acheminement des demandes) peuvent nécessiter un certificat de nom de remplacement de sujet (SAN) (également appelé certificat multidomaine) ou un certificat avec caractère générique. Le service d'équilibreur de charge prend en charge chacun de ces types de certificat.

Note

  • Le service d'équilibreur de charge ne génère aucun certificat SSL. Il peut seulement importer un certificat existant que vous détenez déjà. Le certificat peut être émis par un fournisseur, par exemple Verisign ou GoDaddy. Vous pouvez également utiliser un certificat auto-signé que vous générez avec un outil à code source libre, comme OpenSSL ou Let's Encrypt. Pour obtenir des instructions sur la génération d'un certificat personnalisé, consultez la documentation de l'outil correspondant.
  • Si vous soumettez un certificat auto-signé pour le SSL dorsal, vous devez soumettre le même certificat dans le champ correspondant Certificat de l'autorité de certification.

Oracle Cloud Infrastructure accepte les certificats de type x.509 dans le format PEM uniquement. Voici un exemple de certificat encodé en PEM :


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Conversion dans le format PEM

Si vous recevez vos certificats et clés dans des formats autres que PEM, vous devez les convertir avant de les charger dans le système. Vous pouvez utiliser OpenSSL pour convertir des certificats et des clés au format PEM. Les exemples de commandes suivants peuvent vous aider.

Certificat ou chaîne de certificats de DER à PEM

openssl x509 -inform DER -in <certificate_name>.der -outform PEM -out <certificate_name>.pem

Clé privée de DER à PEM

openssl rsa -inform DER -in <private_key_name>.der -outform PEM -out <private_key_name>.pem

Ensemble de certificats de PKCS#12 (PFX) à PEM

openssl pkcs12 -in <certificate_bundle_name>.p12 -out <certificate_bundle_name>.pem -nodes

Ensemble de certificats de PKCS#7 à PEM

openssl pkcs7 -in <certificate_bundle_name>.p7b -print_certs -out <certificate_bundle_name>.pem

Configuration de la vérification de certificat de pair

La vérification de certificat de pair est utilisée pour l'authentification d'un client. La profondeur de vérification des certificats de pair définit le nombre de certificats de la chaîne qui doivent être vérifiés pour authentifier le client.

Les valeurs suivantes doivent être définies :

  • Un certificat intermédiaire, certificat de client, certificat racine - 2
  • Certificat de client, certificat racine - 1s

Pour décider si la vérification de certificat de pair est mal configurée, notez les points suivants :

  • Le client indique qu'il n'est pas possible de vérifier le certificat et l'établissement d'une liaison SSL client a échoué. Ce message d'erreur varie en fonction du type de client.
  • Dans les journaux de l'équilibreur de charge, l'erreur suivante s'affiche : Client %s has SSL certificate verify error
  • Utilisez l'utilitaire OpenSSL pour exécuter la commande suivante : openssl verify -verbose -CAfile RootCert.pem Intermediate.pem

    Une erreur se produit, indiquant la profondeur à laquelle l'échec de validation a lieu : error 20 at 0 depth lookup:unable to get local issuer certificate

Pour résoudre ce problème, indiquez la profondeur de certificats correcte et vérifiez que le certificat du client et le certificat de l'autorité de certification correspondent et sont dans l'ordre approprié.

Chargement des chaînes de certificats

Si vous avez plusieurs certificats qui forment une seule chaîne de certification (par exemple, tout certificat d'autorité de certification intermédiaire), incluez tous les certificats pertinents dans un fichier, dans l'ordre approprié, avant de les charger dans le système. La commande correcte commence par le certificat directement signé par l'autorité de certification racine approuvée, dans la partie inférieure de la liste. Tout certificat supplémentaire est collé au-dessus du certificat signé.

Combinez les fichiers de certificat de serveur (SSL_Certificate.crt) et de certificat d'autorité de certification intermédiaire (intermediateCA.crt) dans un seul fichier concaténé.

Pour obtenir un fichier concaténé unique à partir du certificat SSL et du certificat d'autorité de certification intermédiaire, ouvrez une invite de commande et exécutez la commande suivante :

cat ssl_certificate.crt IntermediateCA.crt >> certbundle.pem

L'exemple suivant présente un fichier de chaînes de certificat concaténées comprenant quatre certificats :

-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----

Soumission des clés privées

Note

Nous recommandons une longueur minimale de 2048 bits pour votre clé privée RSA.

Si votre soumission de clé privée retourne une erreur, les trois raisons les plus courantes sont :

  • Vous avez indiqué une phrase secrète incorrecte.

  • Votre clé privée a un format incorrect.

  • Le système ne reconnaît pas la méthode de chiffrement utilisée pour votre clé.

Non-concordance de paires de clés

Si vous recevez une erreur concernant la non-concordance de la clé privée et de la clé publique, avant le chargement, utilisez les commandes OpenSSL suivantes pour confirmer qu'elles font partie de la même paire :

openssl x509 -in certificate_name.crt -noout -modulus | openssl sha1
openssl rsa -in private_key.key -noout -modulus | openssl sha1

Confirmez que les valeurs de hachage sha1 retournées correspondent exactement. S'ils sont différents, la clé privée fournie n'est pas utilisée pour signer le certificat public et ne peut pas être utilisée.

Cohérence de la clé privée

Si vous recevez une erreur liée à la clé privée, vous pouvez utiliser OpenSSL pour vérifier sa cohérence :

openssl rsa -check -in <private_key>.pem

Cette commande vérifie que la clé est intacte, que la phrase secrète est correcte et que le fichier contient une clé privée RSA valide.

Déchiffrement d'une clé privée

Si le système ne reconnaît pas la technologie de chiffrement utilisée pour votre clé privée, déchiffrez la clé. Chargez la version non chiffrée de la clé avec votre ensemble de certificats. Vous pouvez utiliser OpenSSL pour déchiffrer une clé privée :

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Configuration du traitement SSL

Voyez comment configurer le traitement SSL pour une ressource d'équilibreur de charge.

Vous pouvez effectuer les tâches de traitement SSL suivantes pour un équilibreur de charge :

  • Mettre fin au protocole SSL au niveau de l'équilibreur de charge. Cette configuration est un traitement SSL frontal. Votre équilibreur de charge peut accepter le trafic chiffré à partir d'un client. Il n'y a pas de chiffrement du trafic entre l'équilibreur de charge et les serveurs dorsaux.
  • Mettre en oeuvre le traitement SSL entre l'équilibreur de charge et vos serveurs dorsaux. Cette configuration est le traitement SSL dorsal. Votre équilibreur de charge n'accepte pas le trafic chiffré provenant des serveurs clients. Le trafic entre l'équilibreur de charge et les serveurs dorsaux est chiffré.
  • Mettre en oeuvre le protocole SSL point à point. Votre équilibreur de charge peut accepter le trafic SSL chiffré des clients et chiffrer le trafic vers les serveurs dorsaux.

Terminaison SSL au niveau de l'équilibreur de charge

Pour assurer la terminaison SSL au niveau de l'équilibreur de charge, vous devez créer un module d'écoute sur un port par défaut tel que le port 443, puis associer un ensemble de certificats chargé avec ce module d'écoute. Pour plus d'informations, voir Création d'un module d'écoute d'équilibreur de charge.

Mise en oeuvre du traitement SSL dorsal

Pour mettre en oeuvre le traitement SSL entre l'équilibreur de charge et vos serveurs dorsaux, vous devez associer un ensemble de certificats chargé avec le jeu dorsal. Pour plus d'informations, voir Création d'un jeu dorsal d'équilibreur de charge.

Note

  • Pour disposer de plus d'un serveur dorsal dans le jeu dorsal, signez vos serveurs dorsaux avec un certificat d'autorité de certification intermédiaire. Le certificat de l'autorité de certification intermédiaire doit être inclus dans l'ensemble de certificats.
  • Vos services dorsaux doivent pouvoir accepter et mettre fin à SSL.

Liste des certificats gérés par le service de certificats

Consultez la liste des certificats gérés par le service de certificats pour un équilibreur de charge.

Les certificats d'équilibreur de charge gérés par le service de certificats ne peuvent être répertoriés dans la console de l'équilibreur de charge. Pour effectuer d'autres tâches du service de certificats, telles que la création, la modification et la suppression d'un certificat, voir Certificats.

Pour voir les certificats SSL créés à l'aide du service d'équilibreur de charge, voir Liste des certificats d'équilibreur de charge

Utilisation de la console

  1. Dans la page de liste Équilibreurs de charge, sélectionnez l'équilibreur de charge à utiliser. Si vous avez besoin d'aide pour trouver la page de liste ou l'équilibreur de charge, voir Liste des équilibreurs de charge.
  2. Dans la page des détails de l'équilibreur de charge, sélectionnez Certificats et chiffrements et recherchez la section Certificats de service de certificat.
    La liste Certificats gérés par le service de certificats s'ouvre. Tous les certificats gérés par le service dans l'équilibreur de charge sélectionné sont affichés dans un tableau. Voir Certificats pour plus d'informations sur le fonctionnement du service de certificats.
La liste Certificats gérés par le service de certificats s'ouvre. Tous les certificats gérés du service de certificats de l'équilibreur de charge sélectionné sont affichés dans un tableau. Voir Certificats pour plus d'informations sur le fonctionnement du service de certificats.

Filtrage des résultats de liste

Utilisez des filtres pour limiter les certificats gérés par le service de certificats dans la liste. Effectuez l'une des actions suivantes en fonction des options affichées :

  • Dans la zone Rechercher et filtrer au-dessus de la table de liste, sélectionnez un ou plusieurs filtres et spécifiez les valeurs à utiliser pour restreindre la liste. En général, les filtres correspondent aux colonnes affichées dans la table de liste, bien que certains filtres représentent des attributs qui ne sont pas affichés dans la table. Le filtre Compartiment est toujours affiché à côté de Filtres appliqués.
  • Dans la partie gauche de la page de liste, sélectionnez une valeur dans l'un des filtres disponibles, tels que compartiment, état ou marqueurs.

Modifiez l'ordre des éléments dans la table de liste à l'aide des icônes de tri en regard des noms de colonne.

Pour plus d'informations sur la recherche de ressources et la gestion des colonnes dans la table de liste, si ces fonctions sont disponibles, voir Liste des ressources.

Actions

Dans le tableau de liste, sélectionnez le nom d'un certificat géré par le service Certificats pour ouvrir sa page de détails, dans laquelle vous pouvez voir son statut et effectuer d'autres tâches.