Configuration de deux appliances Cloud Key Manager CipherTrust Thales dans OCI, création d'un cluster entre elles et configuration d'une instance en tant qu'autorité de certification
Introduction
Les entreprises recherchent de plus en plus de contrôle sur leurs clés cryptographiques dans le paysage actuel axé sur le cloud pour répondre aux exigences de sécurité, de conformité et de souveraineté des données. Thales CipherTrust Cloud Key Manager (CCKM) offre une solution centralisée pour la gestion des clés de cryptage et des clés secrètes dans les environnements multicloud et hybrides, y compris Oracle Cloud Infrastructure (OCI). L'une des principales fonctionnalités de cette architecture est la prise en charge de HYOK (Hold Your Own Key), ce qui vous permet de conserver un contrôle total sur vos clés de cryptage, même lorsque vous utilisez des services cloud tiers.
Ce tutoriel vous guide tout au long de la configuration complète de deux appliances CCKM Thales dans OCI, notamment :
- Déploiement de deux instances CCKM.
- Création d'un cluster haute disponibilité entre eux.
- Configuration de l'un des appareils en tant qu'autorité de certification pour la délivrance et la gestion des certificats internes.
A la fin de ce tutoriel, vous disposerez d'un environnement CCKM robuste et évolutif qui prend en charge des cas d'utilisation clés tels que Utilisation de votre propre clé (BYOK), HYOK et la gestion centralisée du cycle de vie des clés. Cette configuration est idéale pour les entreprises qui cherchent à étendre leur contrôle clé dans le cloud tout en respectant les normes de sécurité des données les plus élevées.
Remarque : dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager sont utilisés de manière interchangeable. Les deux se réfèrent au même produit.
Objectifs
- Tâche 1 : passez en revue l'infrastructure du réseau cloud virtuel (VCN) OCI.
- Tâche 2 : Déployez le premier appareil Thales CCKM.
- Tâche 3 : effectuer la configuration initiale sur le premier appareil Thales CCKM.
- Tâche 4 : Déployez le deuxième appareil Thales CCKM et effectuez la configuration initiale sur le CCKM.
- Tâche 5 : vérifiez la connexion entre la connexion d'appairage à distance (RPC) des appliances CCKM Thales.
- Tâche 6 : configurer le DNS.
- Tâche 7 : configurez le premier appareil Thales CCKM en tant qu'autorité de certification (CA).
- Task 8: Create a cloud service provider (CSR) for both Thales CCKM Appliances and sign them by the CA.
- Tâche 9 : configurer le clustering de l'appareil Thales CCKM.
Tâche 1 : passer en revue l'infrastructure des réseaux cloud virtuels OCI (VCN)
Avant de déployer les appliances Thales CCKM, il est essentiel de comprendre l'architecture réseau OCI sous-jacente qui les prendra en charge.
Dans cette configuration, nous utilisons deux réseaux cloud virtuels distincts :
- Un VCN se trouve dans la région OCI d'Amsterdam (AMS).
- Le deuxième VCN se trouve dans la région OCI d'Ashburn (ASH).
Ces deux régions sont connectées via un RPC, ce qui permet une communication sécurisée et à faible latence entre les appliances CCKM entre les régions. Cette connectivité inter-région est essentielle pour la haute disponibilité, la redondance et le clustering des CCKM.
Les appliances CCKM seront déployées dans des sous-réseaux publics au sein de chaque VCN pour ce tutoriel. Cette approche simplifie l'accès initial et la gestion sur Internet, par exemple via SSH ou l'interface Web. Cependant, il est important de noter que la meilleure pratique dans les environnements de production consiste à déployer ces appareils dans des sous-réseaux privés et à gérer l'accès via un bastion ou un serveur stepstone (saut). Cela réduit l'exposition des appareils au réseau Internet public et s'aligne sur une posture réseau plus sécurisée.
Nous allons déployer les CCKM dans cette configuration VCN vérifiée dans la tâche suivante.
Tâche 2 : Déployer le premier appareil Thales CCKM
Avant de déployer la première appliance Thales CCKM, nous devons nous assurer que l'image requise est disponible dans OCI.
Bien que la documentation officielle de Thales recommande généralement d'ouvrir un dossier de support afin d'obtenir une URL OCI Object Storage pour importer directement l'image CCKM dans OCI, nous utiliserons une autre méthode.
Nous avons reçu un fichier 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova
local de Thales. Au lieu d'utiliser l'URL fournie, nous allons :
- Extrayez le fichier
.vmdk
de l'archive.ova
. - Téléchargez le fichier
.vmdk
vers un bucket OCI Object Storage. - Créez une image personnalisée dans OCI à partir du fichier
.vmdk
. - Déployez l'instance CCKM à l'aide de cette image personnalisée.
Cette méthode nous donne un contrôle complet sur le processus d'importation d'images et est particulièrement utile dans les scénarios de déploiement personnalisés.
-
Enregistrez le fichier
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova
dans un nouveau dossier sur le disque local. -
Extrayez le fichier
.ova
. -
Notez le fichier
.vmdk
dans le dossier extrait.
Avec l'infrastructure réseau OCI, nous sommes prêts à déployer la première appliance Thales CCKM dans la région Amsterdam (AMS). Connectez-vous à la console OCI.
-
Accédez à Stockage, à Object Storage et cliquez sur Buckets.
-
Assurez-vous que vous êtes dans le compartiment correct et cliquez sur Créer un bucket.
-
Saisissez les informations suivantes, puis cliquez sur Créer pour terminer.
- Nom de bucket : entrez
CCKM_Bucket
. - Niveau de stockage : sélectionnez Standard (par défaut).
- Conservez tous les autres paramètres par défaut (sauf si des stratégies de cryptage ou d'accès sont requises pour votre cas d'emploi).
- Nom de bucket : entrez
-
Cliquez sur le bucket OCI Object Storage nouvellement créé.
-
Faites défiler vers le bas.
-
Cliquez sur Charger.
-
Saisissez les informations suivantes .
- Dans Préfixe de nom d'objet, entrez
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA
. - Conservez les valeurs par défaut de tous les autres paramètres.
- Sélectionnez le fichier
.vmdk
(par exemple,k170v-2.19.0+14195-disk1.vmdk
) sur votre ordinateur local, puis cliquez sur Télécharger vers le serveur et attendez la fin du processus.
- Dans Préfixe de nom d'objet, entrez
-
Lorsque le téléchargement vers le serveur est terminé, cliquez sur Fermer.
-
Le fichier
.vmdk
est téléchargé.
Après avoir téléchargé le fichier .vmdk
vers le bucket OCI Object Storage, procédez comme suit pour l'importer en tant qu'image personnalisée.
-
Accédez à la console OCI, accédez à Compute et cliquez sur Images personnalisées.
-
Cliquez sur Importer l'image.
-
Entrez les informations suivantes et cliquez sur Importer l'image.
- Nom : entrez
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA
. - Version du système d'exploitation : faites correspondre le système d'exploitation à l'intérieur de l'image CCKM (consultez la documentation Thales, généralement une version de Debian ou d'Ubuntu).
- Sélectionnez Importer à partir d'un bucket OCI Object Storage.
- Bucket : sélectionnez le bucket.
- Objet : sélectionnez l'objet que nous avons téléchargé dans la section précédente (fichier
.vmdk
). - Type d'image : sélectionnez VMDK.
- Nom : entrez
-
Faites défiler vers le bas.
-
L'état d'importation est en cours, avec un pourcentage terminé lors de l'importation.
-
Une fois l'import d'image terminé, l'image est disponible.
-
Accédez à la console OCI, accédez à Compute et cliquez sur Instances.
-
Cliquez sur Créer une instance.
-
Saisissez les informations suivantes .
-
Nom : entrez le nom de l'instance. Par exemple,
CCKM-1
. -
Sélectionnez n'importe quel domaine de disponibilité disponible dans la région sélectionnée (par exemple,
AD-1
à Amsterdam).
-
-
Cliquez sur Modifier l'image dans la section Image et forme, puis sélectionnez Images personnalisées.
-
Entrez les informations ci-après et cliquez sur Sélectionner une image.
-
Sélectionnez Mes images.
-
Sélectionnez Images personnalisées.
-
Nom d'image personnalisée : sélectionnez l'image importée. Par exemple,
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA
.
-
-
Sélectionnez Forme (
VM.Standard.E5.Flex
) et configurez les OCPU et la mémoire.Remarque : vérifiez les spécifications minimales requises par Thales pour le CCKM (généralement au moins 2 OCPU / 8 Go de RAM).
-
Sélectionnez votre VCN et votre sous-réseau existants. Utilisez un sous-réseau public si vous souhaitez un accès direct SSH/Web (ou un sous-réseau privé avec Bastion si vous suivez les meilleures pratiques).
-
Sélectionnez Affecter automatiquement une adresse IPv4 privée et Affecter automatiquement une adresse IPv4 publique.
-
Dans Ajouter des clés SSH, sélectionnez Télécharger les fichiers de clés publiques vers le serveur et téléchargez un fichier
.pub
. Cette clé sera utilisée pour accéder à la machine virtuelle via SSH. Cliquez sur Créer.L'instance est à l'état PROVISIONING.
-
Une fois le processus de PROVISIONNEMENT terminé, l'état de l'instance passe à EXECUTION. Notez les adresses IP publiques et privées dont nous aurons besoin pour la configuration et la gestion ultérieurement.
-
Pour tester SSH, utilisez l'application Royal TSX et configurez la session SSH.
-
Dans l'onglet Informations d'identification de la session Royal TSX, indiquez le nom utilisateur. Par exemple,
ksadmin
. -
Veillez également à sélectionner le fichier de clés privées correspondant.
-
Connectez-vous au nouveau module CCKM déployé avec SSH.
-
Nous allons utiliser l'interface graphique Web pour configurer le CCKM.
-
Accédez à l'adresse IP publique ou privée si vous utilisez votre navigateur Web pour vous connecter en interne.
-
Toute autorité de certification ne peut pas valider le certificat auto-signé. Cliquez donc sur Avancé.
-
Continuez quand même avec la connexion.
-
L'erreur suivante peut se produire, ce qui signifie que tous les services de l'instance n'ont pas été démarrés. Attendez que tous les services démarrent. Cette opération peut prendre jusqu'à 5 minutes.
-
Lorsque tous les services sont démarrés, vous recevez un message indiquant que tous les services sont corrects.
-
Connectez-vous avec le nom utilisateur
admin
et le mot de passeadmin
. Après la première connexion, vous serez invité à modifier le mot de passe. -
Modifiez le mot d' passe en suivant les instructions.
-
Connectez-vous en utilisant votre nouveau mot de passe.
-
Notez que vous êtes connecté et que le module CCKM a été déployé.
L'image suivante illustre l'état actuel de notre déploiement à ce jour.
Tâche 3 : exécution de la configuration initiale sur le premier appareil CCKM Thales
Maintenant que le premier appareil CCKM est déployé et accessible, il est temps d'effectuer la configuration initiale. Cela inclut la configuration de l'horloge système à l'aide d'un serveur NTP et l'activation de la licence d'évaluation ou de la licence réelle fournie par Thales.
Ces étapes garantissent que l'appareil fonctionne avec un temps précis critique pour la gestion, la journalisation et la synchronisation des certificats et qu'il est entièrement fonctionnel pendant la phase d'évaluation ou de configuration.
-
Accédez à Paramètres d'administration, NTP et sélectionnez Ajouter un serveur NTP.
-
Entrez le nom d'hôte ou l'adresse IP d'un serveur NTP fiable (par exemple,
169.254.169.254
(adresse IP publique du serveur NTP d'Oracle) ou la source NTP interne de votre organisation) et cliquez sur Ajouter un serveur NTP. -
Notez que le message indiquant que le serveur NTP a été ajouté avec succès. Cliquez sur Fermer.
-
Vérifiez que l'heure est synchronisée correctement.
-
Accédez à Paramètres d'administration, Licence et cliquez sur Démarrer CipherTrust l'évaluation de la plate-forme.
-
Faire défiler vers le bas.
-
Cliquez sur Démarrer l'évaluation de la plate-forme CipherTrust.
-
L'activation de la licence prendra quelques minutes.
-
Vérifiez la licence activée.
Tâche 4 : Déployer l'appliance CCKM II Thales et effectuer la configuration initiale
Suivez les étapes décrites dans les tâches 2 et 3 pour déployer le deuxième module CCKM dans la région ASH.
-
Assurez-vous que le deuxième module CCKM est déployé et RUNNING.
-
Testez la connexion entre SSH et le second CCKM.
-
Testez la connexion entre le Web et le deuxième CCKM.
L'image suivante illustre l'état actuel de notre déploiement à ce jour.
Tâche 5 : vérifier la connexion entre le RPC des appareils CCKM Thales
Pour préparer la haute disponibilité et le clustering entre les deux appliances Thales CCKM, il est essentiel de garantir une connectivité adéquate entre les régions dans lesquelles elles sont déployées.
Dans notre configuration, un RPC a été établi entre les régions OCI d'Amsterdam (AMS) et d'Ashburn (ASH). Ce RPC permet une communication sécurisée et à faible latence entre les deux réseaux cloud virtuels où réside chaque appliance CCKM.
Eléments configurés :
- La connexion d'appairage à distance (RPC) est établie et active entre AMS et ASH.
- Les tables de routage sont correctement configurées pour garantir que le trafic entre les deux réseaux cloud virtuels est transmis correctement.
- Les listes de sécurité dans les deux régions sont actuellement configurées pour autoriser tout le trafic entrant et sortant. Cela permet de simplifier les tests de preuve de concept (PoC) et d'éliminer les problèmes de connectivité lors du processus de configuration et de clustering initial.
Remarque :
- Dans un environnement de production, il est fortement recommandé de limiter le trafic à uniquement les ports requis pour la mise en cluster et la gestion.
- Reportez-vous à la documentation Thales pour connaître les exigences de port exactes (par exemple, les ports TCP tels que
443
,8443
,5432
et autres utilisés par le protocole de cluster CCKM).
Cette configuration de réseau inter-région garantit que les CCKM peuvent communiquer de manière transparente pendant le processus de création de cluster, que nous aborderons dans l'une des sections suivantes.
Tâche 6 : configurer le DNS
Une résolution DNS appropriée est requise pour permettre une communication transparente entre les deux appareils. Ceci est particulièrement important pour la sécurité du clustering, la gestion des certificats et la stabilité globale du service.
Remarque : à partir de ce point, nous allons faire référence aux appliances Thales CCKM en tant que Thales CipherTrust Manager, abréviation de CyberTrust Manager.
Lors de l'utilisation d'un serveur DNS interne personnalisé, nous tirons parti des services DNS OCI avec une zone DNS privée dans ce déploiement. Cela nous permet d'affecter des noms de domaine complets et significatifs aux gestionnaires Thales CipherTrust et garantit qu'ils peuvent communiquer entre les régions sans s'appuyer sur des adresses IP statiques.
- Nom de zone DNS privée : entrez
oci-thales.lab
. - Portée : sélectionnez Privé.
- Réseaux cloud virtuels associés : réseaux cloud virtuels AMS et ASH (pour permettre la résolution de noms inter-région).
Nous avons créé deux enregistrements A dans la zone oci-thales.lab
, pointant vers les adresses IP privées de chaque appareil Thales CipherTrust Manager :
le nom d'hôte ; | Nom de domaine qualifié complet | Points à |
---|---|---|
ctm1 |
ctm1.oci-thales.lab |
Adresse IP privée de Thales CipherTrust Manager dans AMS |
ctm2 |
ctm2.oci-thales.lab |
Adresse IP privée de Thales CipherTrust Manager dans ASH |
L'utilisation de noms de domaine qualifiés complets facilite la gestion des certificats et des configurations de cluster et évite de coupler la configuration à des adresses IP fixes.
-
Accédez à la console OCI et accédez à Réseaux cloud virtuels. Assurez-vous que vous êtes dans la région AMS.
-
Cliquez sur le VCN.
-
Cliquez sur le résolveur DNS (pour ce VCN).
-
Cliquez sur la vue privée par défaut (pour ce résolveur DNS et ce VCN).
-
Cliquez sur Créer une zone.
-
Entrez les informations ci-après, mais cliquez sur Créer.
- Nom de zone : entrez
oci-thales.lab
. - Compartiment : sélectionnez le bon.
- Nom de zone : entrez
-
Cliquez sur la zone.
-
Cliquez sur Gérer les enregistrements.
-
Cliquez sur Ajouter un enregistrement,
-
Pour créer un enregistrement pour
ctm1
, entrez les informations suivantes.- Type d'enregistrement : entrez A - Adresse IPv4.
- Nom : entrez
ctm1
. - TTL : conservez la valeur par défaut (par exemple,
300
).
-
Entrez Private IP of Thales CipherTrust Manager in AMS en tant que RDATA (adresse IP) et cliquez sur Save Changes (Enregistrer les modifications).
-
Créez un deuxième enregistrement A pour
ctm2
.- Type d'enregistrement : entrez A - Adresse IPv4.
- Nom : entrez
ctm2
. - TTL : conservez la valeur par défaut (par exemple,
300
).
-
Entrez private IP of Thales CipherTrust Manager in ASH dans RDATA (adresse IP) et cliquez sur Save Changes (Enregistrer les modifications).
-
Cliquez sur Publier les modifications.
-
Répétez les étapes que vous avez suivies pour AMS maintenant dans ASH pour autoriser la résolution de noms DNS dans ASH.
Pour vérifier que le DNS fonctionne comme prévu, connectez-vous en SSH à l'une des instances du gestionnaire Thales CipherTrust et exécutez ping ctm2.oci-thales.lab
à partir du premier gestionnaire Thales CipherTrust (exécuté dans AMS).
Le nom de domaine qualifié complet est résolu à l'adresse IP correcte. Lorsque le RPC, le routage et les listes de sécurité sont correctement configurés, le ping réussit.
Répétez le ping à partir de CTM2 (en cours d'exécution dans ASH) pour confirmer la résolution bidirectionnelle.
Tâche 7 : configuration du premier appareil Thales CCKM en tant qu'autorité de certification
La première fois qu'un gestionnaire CipherTrust est démarré, un nouveau CipherTrust Manager Root CA
local est généré automatiquement. Cette autorité de certification est utilisée pour émettre des certificats de serveur initiaux pour les interfaces disponibles dans le système. Il n'est donc pas nécessaire d'en créer un nouveau.
Remarque : assurez-vous que vous êtes sur le gestionnaire AMS Thales CipherTrust.
-
Cliquez sur CA et sélectionnez Local.
-
Vérifiez l'autorité de certification locale générée automatiquement (autorité de certification racine CipherTrust Manager) que nous allons utiliser pour créer et signer des CSR.
L'image suivante illustre l'état actuel de notre déploiement à ce jour.
Tâche 8 : créer une CSR pour les appareils CCKM Thales et signer par l'autorité de certification
Une fois les appliances CyberTrust Manager déployées et DNS configurées, il est temps d'activer la communication sécurisée basée sur des certificats entre elles. Etant donné que AMS Thales CipherTrust Manager et ASH sont configurés en tant qu'autorité de certification, nous utiliserons le gestionnaire AMS Thales CipherTrust pour générer et signer des certificats pour les deux appareils.
-
Les principales étapes sont les suivantes :
-
Générez des demandes de signature de certificat (CSR) pour les gestionnaires Thales CipherTrust (AMS et ASH) sur le gestionnaire AMS Thales CipherTrust.
-
Utilisez l'autorité de certification AMS Thales CipherTrust Manager pour signer les deux CSR.
-
Installez le certificat signé sur chaque gestionnaire Thales CipherTrust.
-
Cela garantit que toutes les communications de Thales CipherTrust Manager-to-Thales CipherTrust Manager sont sécurisées et cryptées, une exigence essentielle pour la formation de clusters et l'accès sécurisé aux API.
Remarque : effectuez ces étapes uniquement sur le gestionnaire AMS Thales CipherTrust.
-
Connectez-vous à la console AMS de Thales CipherTrust Manager.
-
Accédez à CA et cliquez sur Générateur CSR.
-
Entrez les informations suivantes et cliquez sur Générer une CSR et télécharger la clé privée.
- Sélectionnez RSE générique.
- Nom commun : entrez le nom de domaine qualifié complet du gestionnaire Thales CipherTrust. Par exemple,
ctm1.oci-thales.lab
. - Nom d'affichage (Display Name) : Entrez un nom. Par exemple,
CTM1 (AMS)
. - Algorithme : sélectionnez ECDSA.
- Taille : sélectionnez 256.
- Nom alternatif de l'objet : incluez également le nom de domaine qualifié complet ici. Par exemple,
ctm1.oci-thales.lab
.
Remarque : la clé privée sera automatiquement téléchargée.
-
Cliquez sur Télécharger la CSR pour télécharger et enregistrer le fichier
.csr
généré. -
Répétez les mêmes étapes (toujours sur l'AC de Thales CipherTrust Manager AMS).
-
Entrez les informations suivantes et cliquez sur Générer une CSR et télécharger la clé privée.
- Sélectionnez RSE générique.
- Nom commun : entrez le nom de domaine qualifié complet du gestionnaire Thales CipherTrust. Par exemple,
ctm1.oci-thales.lab
. - Nom d'affichage (Display Name) : Entrez un nom. Par exemple,
CTM2 (AMS)
. - Algorithme : sélectionnez ECDSA.
- Taille : sélectionnez 256.
- Nom alternatif de l'objet : incluez également le nom de domaine qualifié complet ici. Par exemple,
ctm2.oci-thales.lab
.
Remarque : la clé privée sera automatiquement téléchargée.
-
Cliquez sur Télécharger la CSR pour télécharger et enregistrer le fichier
.csr
généré.
Pour assurer le suivi des demandes de signature de certificat (CSR) et des clés privées générées, il est recommandé de créer une structure de dossiers propre sur votre ordinateur local ou un serveur d'administration sécurisé. Voici un exemple de structure simple :
-
Accédez à CA, Local et sélectionnez l'autorité de certification.
-
Cliquez sur Télécharger la CSR.
-
Utilisez le nom de domaine qualifié complet du gestionnaire CipherTrust Thales (par exemple,
ctm1.oci-thales.lab
) en tant que nom d'affichage et copiez le contenu de la CSR générée dans le champ CSR. -
Sélectionnez Serveur comme Objectif du certificat et cliquez sur Emettre un certificat.
-
Cliquez sur les trois points à la fin de l'entrée de certificat signé et cliquez sur Télécharger pour télécharger le certificat signé pour CTM1.
-
Répétez les mêmes étapes (toujours sur l'AC de Thales CipherTrust Manager AMS).
-
Utilisez le nom de domaine qualifié complet du gestionnaire CipherTrust Thales (par exemple,
ctm2.oci-thales.lab
) en tant que nom d'affichage et copiez le contenu de la CSR générée dans le champ CSR. -
Sélectionnez Serveur comme Objectif du certificat et cliquez sur Emettre un certificat.
-
Cliquez sur les trois points à la fin de l'entrée de certificat signé et cliquez sur Télécharger pour télécharger le certificat signé pour CTM2.
-
Renommez et stockez les certificats signés dans la structure de dossiers créée.
En plus de signer les certificats individuels de Thales CipherTrust Manager, le certificat racine d'autorité de certification est un élément essentiel de la chaîne de confiance. Ce certificat racine établit le fondement de la confiance pour tous les certificats émis par votre gestionnaire Thales CipherTrust, agissant en tant qu'autorité de certification.
-
Accédez à CA, Local, cliquez sur les trois points à la fin de l'autorité de certification Thales CipherTrust Manager AMS et cliquez sur Télécharger pour télécharger le certificat d'autorité de certification racine de l'autorité de certification Thales CipherTrust Manager AMS CA.
-
Stockez le certificat racine téléchargé dans la structure de dossiers créée.
-
L'étape suivante consiste à créer un fichier de chaîne de certificat complet qui regroupe votre certificat signé, le certificat racine de l'autorité de certification et votre clé privée dans un seul fichier.
Cela est requis par des applications ou des appareils tels que Thales CipherTrust Manager pour une configuration TLS transparente.
-----BEGIN CERTIFICATE----- Signed CTM1 Cert by CA -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root CA Cert -----END CERTIFICATE----- -----BEGIN EC PRIVATE KEY----- Private Key -----END EC PRIVATE KEY-----
-
Effectuez cette opération pour les gestionnaires CipherTrust Thales et stockez les fichiers de certificat nouvellement concaténés dans la structure de dossiers créée.
-
Après avoir créé les certificats signés sur l'autorité de certification et préparé les fichiers de chaîne de certificats complets, l'étape suivante consiste à les télécharger vers chaque appliance Thales CipherTrust Manager.
Commençons par le premier CTM1 exécuté dans AMS.
-
Accédez à Paramètres d'administration, Interfaces, cliquez sur les trois points de l'interface Web et sélectionnez Options de certificat de renouvellement.
-
Sélectionnez Télécharger/Générer et cliquez sur OK.
-
Téléchargez le certificat de chaîne complète pour CTM1 à l'aide du format PEM et cliquez sur Télécharger le certificat.
-
Cliquez à nouveau sur les trois points de l'interface Web et sélectionnez Options de certificat de renouvellement.
-
Sélectionnez Appliquer, puis cliquez sur OK.
-
Cliquez sur Appliquer.
-
Cliquez sur Page Services.
-
Cliquez sur Redémarrage du système.
-
Cliquez sur Redémarrer les services pour redémarrer le serveur et les services Web afin d'activer le nouveau certificat.
-
Répétez les mêmes étapes pour CTM2 en cours d'exécution dans ASH.
-
Pour tester le certificat nouvellement signé dans votre environnement local à l'aide de Google Chrome, vous devez d'abord l'installer et sa chaîne CA dans le magasin de certificats sécurisé de votre système d'exploitation.
Ceci est hors de portée de ce tutoriel, mais nous allons vous montrer comment nous avons testé les nouveaux certificats Thales CipherTrust Manager signés par l'autorité de certification Thales CipherTrust Manager AMS.
-
Ouvrez les paramètres du navigateur Google Chrome, accédez à Confidentialité et sécurité et cliquez sur Sécurité.
-
Cliquez sur Gérer les certificats
-
Cliquez sur Certificats locaux, puis, dans la section Personnalisé, cliquez sur Installation effectuée par vous.
-
Nous avons déjà importé les certificats de chaîne complète et le certificat racine sur le système d'exploitation local.
Vous pouvez également importer les certificats. Ce bouton Importer vous permet d'accéder aux paramètres de certificat au niveau du système d'exploitation.
-
Comme nous n'avons pas configuré le serveur DNS sur Internet, nous mettons à jour le fichier
/etc/hosts
local avec les entrées d'hôte manuelles pour tester les certificats de la machine locale à l'aide du nom de domaine qualifié complet. -
Accédez au nom de domaine qualifié complet CTM1 à l'aide de Google Chrome et cliquez sur les paramètres de sécurité.
-
Cliquez sur La connexion est sécurisée.
-
Cliquez sur Certificat valide.
-
Consultez les détails de la section Délivré à.
Tâche 9 : configurer le clustering de l'appliance Thales CCKM
Les appliances CCM (Cloud Key Manager) de Thales CipherTrust permettent une haute disponibilité et un équilibrage de charge pour la gestion des clés cryptographiques. Cela garantit un service continu et une tolérance aux pannes dans votre infrastructure de sécurité.
Le clustering est entièrement configuré à partir de la console de gestion d'un seul (principal) appareil Thales CipherTrust Manager (dans cet exemple, le gestionnaire Thales CipherTrust s'exécutant dans AMS). Utilisez l'interface de cet appareil pour créer le cluster et ajouter d'autres appareils Thales CipherTrust Manager en tant que noeuds de cluster.
-
Accédez à Paramètres d'administration, Cluster et cliquez sur Gérer le cluster.
-
Cliquez sur Ajouter un cluster (Add cluster).
-
Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Entrez le nom d'hôte du gestionnaire CipherTrust d'AMS Thales (CTM1 dans AMS avec l'adresse IP privée 10.222.10.111).
Nous n'avons pas l'intention d'utiliser (ou de créer) un cluster sur Internet en utilisant l'adresse IP publique. Par conséquent, nous utilisons l'adresse IP privée dans les deux champs.
-
Cliquez sur Ajouter un cluster.
-
Notez que cet ordinateur a créé un cluster et qu'il fait partie de ce cluster.
-
Dans le même AMS CTM1, cliquez sur Gérer le cluster et sélectionnez Ajouter un noeud pour ajouter l'historique des sessions actives CTM2.
-
Indiquez l'adresse IP ASH Thales CipherTrust Manager en tant que noeud à ajouter au cluster. Nous pouvons utiliser le nom DNS ici.
-
Cliquez sur Ajouter un noeud.
-
Une nouvelle fenêtre/un nouvel onglet de navigateur sera ouvert sur l'historique des sessions actives (ASH) CMT2. Si vous n'êtes pas connecté à l'ASH CMT2, vous pouvez d'abord obtenir une invite de connexion.
-
Une certaine activité de configuration de cluster se produira en arrière-plan.
-
Cliquez sur Rejoindre pour confirmer la jointure.
-
Une autre activité de configuration de cluster se produira en arrière-plan.
-
Cliquez sur Terminer pour confirmer le message de succès.
-
Si la fenêtre ou l'onglet du navigateur que vous venez d'ouvrir est toujours ouvert, vous pouvez le fermer manuellement.
-
Dans le fichier AMS CTM1, cliquez sur Terminé pour confirmer.
-
Au début, le noeud nouvellement ajouté (ASH CTM2) apparaît vers le bas. Attendez quelques minutes pour que le cluster puisse détecter sa présence.
-
Un message d'erreur peut également s'afficher en haut de l'écran. Cela signifie que le cluster est toujours en mode configuration. Attendez quelques minutes que le message disparaisse.
Pour vérifier si la configuration de cluster Thales CipherTrust Manager est effectuée correctement et en bon état, vous pouvez vérifier CTM1 et CTM2.
-
Dans CTM1, accédez à Paramètres d'administration et cliquez sur Cluster.
- Notez que l'adresse IP
10.222.10.111
provient de ce serveur (AMS CTM1). - Notez l'autre noeud (
10.111.10.32
) du serveur distant (ASH CTM2).
- Notez que l'adresse IP
-
Dans CTM2, accédez à Paramètres d'administration et cliquez sur Cluster.
-
Notez que l'adresse IP
10.111.10.32
provient de ce serveur (ASH CTM2). -
Notez l'autre noeud (
10.222.10.111
) du serveur distant (AMS CTM1).
-
L'image suivante illustre l'état actuel de notre déploiement à ce jour.
Etapes suivantes
Dans ce tutoriel, vous avez configuré deux appliances Thales CCKM dans OCI, établi un cluster sécurisé entre elles et configuré un appareil en tant qu'autorité de certification. Vous avez créé un environnement de gestion des clés hautement disponible et sécurisé en suivant le processus étape par étape, du déploiement des appliances à la configuration de l'infrastructure réseau en passant par la création et la signature de CSR et l'activation du clustering. Cette configuration garantit des opérations cryptographiques robustes avec une gestion centralisée des certificats, optimisant la sécurité et la résilience opérationnelle dans votre environnement OCI.
Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager sans option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway.
Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager avec l'option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager avec OCI API Gateway.
Liens connexes
-
Thales : signature d'une demande de certificat avec une autorité de certification locale
-
Thales CCKM version 2.19 : Renouvellement du certificat d'interface Web
-
Thales CCKM version 2.19 : Création d'une configuration de cluster
Accusés de réception
- Auteur - Iwan Hoogendoorn (ceinture noire de mise en réseau cloud)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.
Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority
G38087-01
Copyright ©2025, Oracle and/or its affiliates.