Suites de chiffrement pour les équilibreurs de charge
Utilisez des suites de chiffrement avec un équilibreur de charge pour déterminer la sécurité, la compatibilité et la vitesse du trafic HTTPS.
Une suite de chiffrement est une entité logique pour un jeu d'algorithmes, ou de chiffrements, utilisant le protocole TLS pour déterminer la sécurité, la compatibilité et la vitesse du trafic HTTPS. Tous les chiffrements sont associés à au moins une version du protocole TLS 1.0, 1.1, 1.2 et 1.3.
Toute suite de chiffrement que vous utilisez ou créez doit contenir des chiffrements individuels qui correspondent à la version TLS prise en charge dans votre environnement. Certains chiffrements peuvent fonctionner avec plusieurs versions TLS. Si votre environnement prend en charge au moins une des versions TLS associées à un chiffrement spécifique, vous pouvez l'utiliser.
Affectez au moins un chiffrement à une suite de chiffrement que vous créez. Vous ne pouvez pas créer une suite de chiffrement qui ne contient aucun chiffrement.
Lorsque vous créez ou modifiez un module d'écoute, vous ajoutez ou vous pouvez modifier la suite de chiffrement associée. Une seule suite de chiffrement peut être associée à un module d'écoute à la fois, qui contrôle tous les chiffrements autorisés. La suite de chiffrement associée au module d'écoute doit comporter tous les chiffrements qui doivent être pris en charge. Pour plus d'informations, voir Modules d'écoute pour les équilibreurs de charge.
Sélectionnez Suite de chiffrement sous Ressources dans la page Détails de l'équilibreur de charge pour afficher la page Suite de chiffrement. Cette page contient un bouton permettant de créer des suites de chiffrement.
Cette page contient également une liste de toutes les suites de chiffrement disponibles, à la fois celles qui ont été prédéfinies depuis Oracle Cloud Infrastructure (P prédéfinies=Oui) et celles que vous avez créées vous-même (Prédéfinies=Non). Vous pouvez modifier ou supprimer les suites de chiffrement que vous avez créées. Vous ne pouvez pas modifier ou supprimer des suites de chiffrement prédéfinies.
Voici des informations de référence sur les chiffrements et les suites de chiffrement :
Suites de chiffrement prédéfinies.
Suites de chiffrement obsolètes.
Vous pouvez effectuer les tâches de gestion des suites de chiffrement suivantes :
Listez les suites de chiffrement sous un équilibreur de charge.
Créez une suite de chiffrement pour un équilibreur de charge.
Obtenir les détails d'une suite de chiffrement.
Modifiez les paramètres d'une suite de chiffrement.
Supprimer une suite de chiffrement d'un équilibreur de charge.
Notez les éléments suivants liés aux suites de chiffrement :
- Assurez-vous de la compatibilité entre les protocoles SSL spécifiés et les chiffrements configurés dans la suite de chiffrement, sinon l'établissement de liaison SSL n'a pas réussi.
- Assurez-vous de la compatibilité entre les chiffrements configurés dans la suite de chiffrement et les certificats configurés (par exemple, les chiffrements basés sur RSA nécessitent un certificat RSA tandis que les ceux qui sont basés sur ECDSA nécessitent des certificats ECDSA).
- Pour toutes les ressources d'équilibreur de charge et de module d'écoute qui ont été créées avant que la fonction des suites de chiffrement soit disponible, les points suivants s'appliquent :
- Lors de l'exécution d'une opération GET, la valeur de la suite de chiffrement retournée est par défaut "oci-default-ssl-cipher-suite-v1" dans la configuration SSL du module d'écoute. Vous pouvez mettre à jour cette valeur en modifiant l'équilibreur de charge ou le module d'écoute.
- Lors de l'exécution d'une opération GET, la valeur de la suite de chiffrement retournée est affichée comme "oci-customized-ssl-cipher-suite" dans la configuration SSL du module d'écoute si la configuration de chiffrement a été personnalisée après la création de l'équilibreur de charge à l'aide d'opérations Oracle.
- Pour tous les jeux dorsaux d'équilibreur de charge existants qui ont été créés avant que la fonction des suites de chiffrement ne soit disponible, l'exécution d'une opération GET affiche la valeur de la suite de chiffrement comme "oci-wider-compatible-ssl-cipher-suite-v1" dans la configuration SSL du jeu dorsal.
- Si l'exécution d'une opération GET sur un module d'écoute d'équilibreur de charge affiche la valeur de la suite de chiffrement en tant que "oci-customized-ssl-cipher-suite", sélectionnez le nom approprié de la suite de chiffrement (suites prédéfinies ou suites personnalisées définies) lors de la mise à jour de ces équilibreurs de charge.
- Le nom de la suite de chiffrement "oci-customized-ssl-cipher-suite" est réservé à Oracle et n'est pas acceptable en tant que nom disponible pour une suite de chiffrement personnalisée.
Suites de chiffrement dans les modules d'écoute et les jeux dorsaux
Lorsque vous créez un équilibreur de charge, la spécification de la suite de chiffrement fait partie de la configuration du module d'écoute et du jeu dorsal. Voir Création d'un équilibreur de charge pour plus d'informations.
Si vous prévoyez d'utiliser le protocole TLS v1.3 avec un jeu dorsal ou un module d'écoute sur le même équilibreur de charge, vous ne pouvez pas utiliser la suite de chiffrement prédéfinie oci-wider-compatible-ssl-cipher-suite-v1 ni aucune suite de chiffrement personnalisée contenant l'un des chiffrements obsolètes suivants :
- DHE-DSS-AES128-GCM-SHA256
- DHE-DSS-AES128-SHA256
- DHE-DSS-AES256-GCM-SHA384
- DHE-DSS-AES256-SHA256
- ECDH-ECDSA-AES128-GCM-SHA256
- ECDH-ECDSA-AES128-SHA256
- ECDH-ECDSA-AES256-GCM-SHA384
- ECDH-ECDSA-AES256-SHA384
- ECDH-RSA-AES128-GCM-SHA256
- ECDH-RSA-AES128-SHA256
- ECDH-RSA-AES256-GCM-SHA384
- ECDH-RSA-AES256-SHA384
- IDEA-CBC-SHA
- RC4-MD5