Mécanismes de cryptage pour les équilibreurs de charge
Utilisez des mécanismes de cryptage avec un équilibreur de charge pour déterminer la sécurité, la compatibilité et la vitesse du trafic HTTPS.
Un mécanisme de cryptage est une entité logique pour un ensemble d'algorithmes, ou de cryptages, utilisant TLS (Transport Layer Security) pour déterminer la sécurité, la compatibilité et la vitesse du trafic HTTPS. Tous les cryptages sont associés à au moins une version de TLS 1.0, 1.1, 1.2 et 1.3.
Tout mécanisme de cryptage que vous utilisez ou créez doit contenir des cryptages qui correspondent à la version de TLS prise en charge dans votre environnement. Certains chiffrements peuvent fonctionner avec plusieurs versions de TLS. Si votre environnement prend en charge au moins l'une des versions TLS associées à un cryptage spécifique, vous pouvez l'utiliser.
Affectez au moins un cryptage au mécanisme de cryptage créé. Vous ne pouvez pas créer de mécanisme de cryptage qui ne contient aucun cryptage.
Lorsque vous créez ou modifiez un processus d'écoute, vous pouvez ajouter ou modifier le mécanisme de cryptage associé. Un seul mécanisme de cryptage à la fois peut être attaché à un processus d'écoute. Il contrôle tous les cryptages autorisés. Le mécanisme de cryptage attaché au processus d'écoute doit comporter tous les cryptages pour lesquels une prise en charge est requise. Pour plus d'informations, reportez-vous à Processus d'écoute pour les équilibreurs de charge.
Sur la page Détails de l'équilibreur de charge, sélectionnez Mécanismes de cryptage sous Ressources pour afficher la page Mécanismes de cryptage. Cette page contient un bouton permettant de créer des mécanismes de cryptage.
Cette page contient également la liste de tous les mécanismes de cryptage disponibles, à la fois ceux qui ont été préconfigurés à l'origine à partir d'Oracle Cloud Infrastructure ( prédéfini = Oui) et ceux que vous avez créés vous-même ( prédéfinis = Non). Vous pouvez modifier ou supprimer les mécanismes de cryptage que vous avez vous-même créés. Vous ne pouvez pas modifier ou supprimer des mécanismes de cryptage prédéfinis.
Voici des informations de référence pour les cryptages et les mécanismes de cryptage :
Mécanismes de chiffrement prédéfinis.
Suites de chiffrement en phase d'abandon.
Vous pouvez effectuer les tâches de gestion de mécanisme de cryptage suivantes :
Répertoriez les mécanismes de cryptage sous un équilibreur de charge.
Créez un mécanisme de cryptage pour un équilibreur de charge.
Obtenez les détails d'un mécanisme de cryptage.
Modifier les paramètres d'un mécanisme de cryptage
Suppression d'un mécanisme de cryptage d'un équilibreur de charge.
Notez les éléments suivants liés aux mécanismes de cryptage :
- Assurez la compatibilité entre les protocoles SSL indiqués et les cryptages configurés dans le mécanisme de cryptage, sans quoi la procédure d'établissement de liaison SSL échoue.
- Veillez à la compatibilité entre les cryptages configurés dans le mécanisme de cryptage et les certificats configurés (par exemple, les cryptages de type RSA requièrent un certificat RSA alors que les cryptages de type ECDSA nécessitent des certificats ECDSA).
- Pour toutes les ressources d'équilibreur de charge et de processus d'écoute créées avant la mise à disposition de la fonctionnalité de mécanisme de cryptage, les éléments suivants s'appliquent :
- Lors de l'exécution d'une opération GET, la valeur du mécanisme de cryptage renvoyée est "oci-default-ssl-cipher-suite-v1" par défaut dans la configuration SSL du processus d'écoute. Vous pouvez mettre à jour cette valeur en modifiant l'équilibreur de charge ou le processus d'écoute.
- Lors de l'exécution d'une opération GET, la valeur du mécanisme de cryptage renvoyée s'affiche sous la forme "oci-customized-ssl-cipher-suite" dans la configuration SSL du processus d'écoute si la configuration de cryptage a été personnalisée après la création de l'équilibreur de charge via des opérations Oracle.
- Pour tous les ensembles de back-ends d'équilibreur de charge existants créés avant la mise à disposition de la fonctionnalité de mécanisme de cryptage, l'exécution d'une opération GET affiche la valeur du mécanisme de cryptage sous la forme "oci-wider-compatible-ssl-cipher-suite-v1" dans la configuration SSL de l'ensemble de back-ends.
- Si l'exécution d'une opération GET sur un processus d'écoute d'équilibreur de charge affiche la valeur du mécanisme de cryptage sous la forme "oci-customized-ssl-cipher-suite", sélectionnez le nom de mécanisme de cryptage approprié (mécanismes de cryptage prédéfinis ou personnalisés) lors de la mise à jour de ces équilibreurs de charge.
- L'utilisation du nom de mécanisme de cryptage "oci-customized-ssl-cipher-suite" est réservée à Oracle. Ce nom ne peut donc pas être attribué à un mécanisme de cryptage personnalisé.
Mécanismes de cryptage dans les processus d'écoute et les ensembles de back-ends
Lorsque vous créez un équilibreur de charge, l'indication du mécanisme de cryptage fait partie de la configuration du processus d'écoute et de l'ensemble de back-ends. Pour plus d'informations, reportez-vous à Création d'un équilibreur de charge.
Si vous prévoyez d'utiliser le protocole TLS v1.3 avec un ensemble de back-ends ou un processus d'écoute sur le même équilibreur de charge, vous ne pouvez pas utiliser le mécanisme de cryptage prédéfini oci-wider-compatible-ssl-cipher-suite-v1 ni aucun mécanisme de cryptage personnalisé contenant l'un des cryptages en phase d'abandon suivants :
- DHE-DSS-AES128-GCM-SHA256
- DHE-DSS-AES128-SHA256
- DHE-DSS-AES256-GCM-SHA384
- DHE-DSS-AES256-SHA256
- ECDH-ECDSA-AES128-GCM-SHA256
- ECDH-ECDSA-AES128-SHA256
- ECDH-ECDSA-AES256-GCM-SHA384
- ECDH-ECDSA-AES256-SHA384
- ECDH-RSA-AES128-GCM-SHA256
- ECDH-RSA-AES128-SHA256
- ECDH-RSA-AES256-GCM-SHA384
- ECDH-RSA-AES256-SHA384
- IDEA-CBC-SHA
- RC4-MD5