Certificats SSL gérés par un équilibreur de charge
Utilisez des certificats SSL (SSL) auprès de votre équilibreur de charge via le service Load Balancer.
Cette rubrique explique comment créer et gérer des certificats SSL dans le service Load Balancer. Nous vous recommandons d'utiliser le service Certificates pour créer et gérer des certificats. Pour plus d'informations, reportez-vous à Certificats.
Vous pouvez afficher les certificats gérés par le service Certificate utilisés par un équilibreur de charge via la console. Pour plus d'informations, reportez-vous à Liste des certificats gérés par le service Certificates.
Pour utiliser un protocole SSL standard avec un équilibreur de charge et ses ressources, vous devez fournir un certificat.
Pour utiliser l'authentification mTLS (TLS mutuelle) avec l'équilibreur de charge, vous devez ajouter des autorités de certification ou des packages d'autorité de certification au système.
- Autorité de certification : autorité de certificat privée capable d'émettre des certificats feuille. Pour un équilibreur de charge et les ressources associées, l'autorité de certification est un truststor créé dans un service de certificats et n'est jamais téléchargée.
- Package d'AC : ensemble de certificats publics d'AC que vous pouvez télécharger en tant que groupe agrégé. Les packages d'autorité de certification n'incluent pas de certificat de clé privée ou feuille.
Nous vous recommandons de télécharger les lots de certificats à utiliser avant la création des processus d'écoute ou des ensembles de back-ends auxquels vous voulez les associer.
Vous pouvez effectuer les tâches de certificat SSL suivantes :
Configurer la gestion SSL pour un équilibreur de charge.
Répertoriez les certificats d'un équilibreur de charge.
Créez un certificat pour un équilibreur de charge.
Obtenir les détails d'un certificat.
Mettre à jour un certificat arrivant à expiration.
Supprimer un certificat d'un équilibreur de charge
Les équilibreurs de charge utilisent généralement des certificats de domaine unique. Cependant, les équilibreurs de charge associés aux processus d'écoute qui incluent le routage de demandes (reportez-vous à la section Routage des demandes) peuvent nécessiter un certificat SAN (également appelé certificat multidomaine) ou un certificat générique. Le service Load Balancer prend en charge chacun de ces type de certificat.
- Le service Load Balancer ne génère pas de certificats SSL. Vous pouvez uniquement importer un certificat existant dont vous êtes déjà le propriétaire. Le certificat peut être émis par un fournisseur, comme Verisign ou GoDaddy. Vous pouvez également utiliser un certificat auto-signé généré à l'aide d'un outil open source, comme OpenSSL ou Crypter. Reportez-vous à la documentation de l'outil correspondant pour obtenir des instructions sur la génération d'un certificat auto-signé.
- Si vous soumettez un certificat auto-signé pour SSL back-end, vous devez soumettre le même certificat dans le champ de certificat de l'autorité de certification correspondant.
Oracle Cloud Infrastructure accepte les certificats de type X.509 au format PEM uniquement. Voici un exemple de certificat encodé PEM :
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
Conversion au format PEM
Si vous recevez les certificats et les clés dans des formats autres que PEM, vous devez les convertir pour pouvoir les télécharger vers le système. Vous pouvez utiliser OpenSSL pour convertir des certificats et des clés au format PEM. Les commandes d'exemple suivantes vous montrent comment procéder.
Certificat ou chaîne de certificat DER au format PEM
openssl x509 -inform DER -in <certificate_name>.der -outform PEM -out <certificate_name>.pem
Clé privée DER au format PEM
openssl rsa -inform DER -in <private_key_name>.der -outform PEM -out <private_key_name>.pem
Groupe de certificats PKCS#12 (PFX) au format PEM
openssl pkcs12 -in <certificate_bundle_name>.p12 -out <certificate_bundle_name>.pem -nodes
Groupe de certificats PKCS#7 au format PEM
openssl pkcs7 -in <certificate_bundle_name>.p7b -print_certs -out <certificate_bundle_name>.pem
Configuration de la vérification du certificat homologue
La vérification du certificat homologue est utilisée pour l'authentification client. La profondeur de vérification du certificat homologue correspond au nombre de certificats dans la chaîne qui doivent être vérifiés pour l'authentification client.
Les valeurs attendues à définir sont les suivantes :
- Un certificat intermédiaire, certificat client, certificat racine : 2
- Certificat client, certificat racine : 1s
Pour savoir si la vérification de votre certificat homologue est configurée de manière incorrecte, examinez les points suivants :
- Le client indique qu'il ne peut pas vérifier le certificat et qu'il entraîne un échec d'établissement de liaison SSL client. Le message d'erreur varie en fonction du type de client.
- Dans les journaux de l'équilibreur de charge, l'erreur suivante est affichée :
Client %s has SSL certificate verify error
- Servez-vous de l'utilitaire OpenSSL pour exécuter la commande suivante :
openssl verify -verbose -CAfile RootCert.pem Intermediate.pem
Une erreur est générée. Elle indique à quelle profondeur l'échec de validation se produit :
error 20 at 0 depth lookup:unable to get local issuer certificate
Pour résoudre le problème, indiquez la profondeur de certificat correcte, et vérifiez que le certificat client et le certificat de l'autorité de certification correspondent et sont dans le bon ordre.
Téléchargement de chaînes de certificat
Si vous avez plusieurs certificats qui forment une chaîne de certification unique (par exemple, tout certificat d'autorité de certification intermédiaire), incluez tous les certificats pertinents dans un fichier dans le bon ordre avant de les télécharger vers le système. Vous devez les classer en plaçant le certificat signé directement par l'autorité de certification racine sécurisée en bas de la liste. Tous les certificats supplémentaires sont collés au-dessus du certificat signé.
Combinez les fichiers de certificat de serveur (SSL_Certificate.crt
) et de certificat d'autorité de certification intermédiaire (intermediateCA.crt
) dans un seul fichier concaténé.
Pour obtenir un seul fichier concaténé à partir du certificat SSL et du certificat d'autorité de certification intermédiaire, ouvrez une invite de commande et exécutez la commande suivante :
cat ssl_certificate.crt IntermediateCA.crt >> certbundle.pem
L'exemple de fichier de chaîne de certificat concaténé suivant comporte quatre certificats :
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded_certificate
-----END CERTIFICATE-----
Soumission de clés privées
Nous recommandons une longueur minimale de 2048 bits pour votre clé privée RSA.
Si la soumission de votre clé privée renvoie une erreur, les trois raisons les plus courantes sont les suivantes :
-
Vous avez fourni une phrase de passe incorrecte.
-
Le format de votre clé privée est incorrect.
-
Le système n'est pas en mesure de reconnaître la méthode de cryptage utilisée pour votre clé.
Non-concordance de paire de clés
Si vous recevez une erreur liée à la non‑concordance de La clé privée et de La clé publique, avant le téléchargement, utilisez la commande OpenSSL suivante pour confirmer que les clés appartiennent à la même paire :
openssl x509 -in certificate_name.crt -noout -modulus | openssl sha1
openssl rsa -in private_key.key -noout -modulus | openssl sha1
Vérifiez que les valeurs de hachage sha1
renvoyées correspondent exactement. S'ils sont différents, la clé privée fournie n'est pas utilisée pour signer le certificat public et ne peut pas être utilisée.
Cohérence de la clé privée
Si vous recevez une erreur en lien avec la clé privée, vous pouvez utiliser OpenSSL pour vérifier sa cohérence :
openssl rsa -check -in <private_key>.pem
Cette commande vérifie que la clé est intacte, que la phrase de passe est correcte et que le fichier contient une clé privée RSA valide.
Décryptage d'une clé privée
Si le système n'est pas en mesure de reconnaître la technologie de cryptage utilisée pour votre clé privée, déchiffrez la clé. Téléchargez la version non cryptée de la clé avec votre groupe de certificats. Vous pouvez utiliser OpenSSL pour décrypter une clé privée à l'aide de la commande suivante :
openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem
Configuration du traitement SSL
Découvrez comment configurer le traitement SSL pour une ressource d'équilibreur de charge.
Vous pouvez effectuer les tâches de traitement SSL suivantes pour un équilibreur de charge :
- Mettre fin à SSL sur l'équilibreur de charge. Il s'agit d'une configuration SSL frontal. L'équilibreur de charge peut accepter le trafic crypté en provenance d'un client. Le trafic n'est pas crypté entre l'équilibreur de charge et les serveurs back-end.
- Implémentez SSL entre l'équilibreur de charge et les serveurs back-end. Il s'agit d'une configuration SSL back-end. L'équilibreur de charge n'accepte pas le trafic crypté en provenance des serveurs client. Le trafic est crypté entre l'équilibreur de charge et les serveurs back-end.
- Implémentez SSL point à point. L'équilibreur de charge peut accepter le trafic crypté SSL en provenance des clients et le crypter sur les serveurs back-end.
Terminaison de SSL sur l'équilibreur de charge
Pour mettre fin à SSL sur l'équilibreur de charge, vous devez créer un processus d'écoute sur un port comme 443, puis associer des groupes de certificats téléchargés au processus d'écoute Pour plus d'informations, reportez-vous à Création d'un processus d'écoute d'équilibreur de charge.
Implémentation de SSL back-end
Pour implémenter SSL entre l'équilibreur de charge et les serveurs back-end, vous devez associer un groupe de certificats téléchargé à l'ensemble de back-ends. Pour plus d'informations, reportez-vous à Création d'un ensemble de back-ends d'équilibreur de charge.
- Pour disposer d'un certain nombre de serveurs back-end dans l'ensemble de back-ends, signez vos serveurs back-end avec un certificat d'autorité de certification intermédiaire. Le certificat de l'autorité de certification intermédiaire doit être inclus dans le groupe de certificats.
- Vos services back-end doivent pouvoir accepter SSL et y mettre fin.
Implémentation de SSL point à point
Pour implémenter SSL point à point, vous devez associer des groupes de certificats téléchargés à la fois au processus d'écoute et à l'ensemble de back-ends. Pour plus d'informations, reportez-vous à Création d'un processus d'écoute d'équilibreur de charge et à Création d'un ensemble de back-ends d'équilibreur de charge.
Liste des certificats gérés par le service
Affichez la liste des certificats gérés par le service Certificates pour un équilibreur de charge.
Les certificats d'équilibreur de charge gérés par le service Certificates ne peuvent être répertoriés que dans la console de l'équilibreur de charge. Pour effectuer d'autres tâches de service Certificates, telles que la création, la modification et la suppression d'un certificat, reportez-vous à Certificates.
Pour visualiser les certificats SSL créés à l'aide du service Load Balancer, reportez-vous à Liste des certificats d'équilibreur de charge.
Utilisation de la console
Filtrage des résultats de liste
Utilisez des filtres pour limiter les certificats gérés par le service Certificates dans la liste. Effectuez l'une des actions suivantes en fonction des options que vous voyez :
- Dans la zone Rechercher et filtrer au-dessus de la table de liste, sélectionnez un ou plusieurs filtres et indiquez les valeurs à utiliser pour affiner la liste. En général, les filtres correspondent aux colonnes affichées dans la table de liste, bien que certains filtres représentent des attributs qui ne sont pas affichés dans la table. Le filtre Compartiment est toujours affiché en regard de Filtres appliqués.
- Dans la partie gauche de la page de liste, sélectionnez une valeur dans l'un des filtres disponibles, tels que le compartiment, l'état ou les balises.
Modifiez l'ordre des éléments dans la table de liste en utilisant les icônes de tri en regard des noms de colonne.
Pour plus d'informations sur la recherche de ressources et la gestion des colonnes dans la table de liste, si ces fonctionnalités sont disponibles, reportez-vous à Liste des ressources.
Actions
Dans la table de liste, sélectionnez le nom d'un certificat géré par le service Certificates pour ouvrir sa page de détails, dans laquelle vous pouvez afficher son statut et effectuer d'autres tâches.