A propos du déploiement de certificats TLS sécurisés

Cette solution offre une approche sécurisée, flexible et conforme aux entreprises qui ont besoin d'utiliser des certificats TLS sécurisés dans des environnements où l'immuabilité clé d'Oracle Cloud Infrastructure Vault serait autrement un bloqueur. Il comble efficacement l'écart entre les modèles de sécurité natifs d'OCI et les exigences d'intégration du monde réel dans plusieurs services Oracle et non Oracle.

Lors de l'implémentation d'une communication TLS sécurisée sur des serveurs Web ou d'applications, il est essentiel d'avoir accès aux composants suivants :

  • Le certificat TLS
  • Racine et intermédiaire (chaîne de certificats)
  • La clé privée correspondante

Oracle Cloud Infrastructure (OCI) propose des services natifs de gestion des certificats qui permettent la création et la gestion du cycle de vie des certificats destinés à être utilisés dans les services gérés par OCI. Dans ce modèle, les clés privées sont stockées en toute sécurité dans OCI Vault et ne sont pas accessibles aux utilisateurs finaux ou aux systèmes externes. Bien que cela améliore la sécurité, il limite la flexibilité dans les scénarios où un contrôle complet des certificats et des clés est requis, tels que le déploiement sur des serveurs d'applications externes ou des environnements hybrides. Elle pose un problème lors de la tentative d'utilisation de l'autorité de certification (CA) à partir d'OCI Certificates pour les systèmes qui nécessitent un accès direct au certificat et à la clé privée.

Cela devient particulièrement problématique lors de l'intégration à des services tels que :

  • Oracle Analytics Cloud
  • Oracle Integration
  • Serveurs Web hébergés sur OCI Compute
  • Applications on-premise ou en périphérie

Ces plates-formes nécessitent généralement un contrôle total sur le certificat TLS, y compris la possibilité d'accéder à la clé privée, afin de prendre en charge la communication sécurisée et la terminaison des sessions SSL/TLS.

Ce guide stratégique présente une solution inter-produits qui résout cette limitation en permettant l'utilisation de l'autorité de certification OCI pour les environnements hybrides :

  • Vous générez une clé privée et une demande de signature de certificat (CSR) localement, en dehors d'OCI.
  • La CSR est ensuite signée par l'autorité de certification OCI Certificates, ce qui maintient la confiance au sein de l'écosystème OCI.
  • Le certificat signé obtenu est combiné à la clé privée générée localement et déployé sur n'importe quel service qui en a besoin, que ce soit dans OCI, sur site ou dans un autre cloud.

Le diagramme suivant illustre ce flux.


Description de l'image Implement-oci-ca-ext.png
Description de l'illustration Implement-oci-ca-ext.png

Cette méthode est idéale pour :

  • Configurations hors production où les certificats autosignés rentables sont suffisants.
  • Environnements nécessitant à la fois un contrôle de certificat et de clé privée (tels que des serveurs personnalisés ou des intégrations sur site).
  • Scénarios dans lesquels les certificats gérés par OCI (qui masquent les clés privées) ne sont pas compatibles avec les systèmes externes.

Avant de commencer

Avant de commencer, vous devez :

  • OCI Vault pour le stockage sécurisé des clés privées configurées dans OCI.
  • Une autorité de certification OCI Certificates configurée et entièrement fonctionnelle dans OCI.
  • Accédez à la bibliothèque OpenSSL sur votre ordinateur local afin de générer votre clé privée.

A propos des services et rôles requis

Cette solution requiert le service et le rôle suivants :

  • Oracle Cloud Infrastructure

Il s'agit du rôle nécessaire au service.

Nom du service : Rôle Obligatoire pour...
Oracle Cloud Infrastructure : administrateur Gérer les objets dans les compartiments, et lire ou gérer les certificats, les buckets, les coffres et les clés (voir ci-dessous).

Vous pouvez utiliser une stratégie simple pour les administrateurs d'autorité de certification, ou configurer à la fois une stratégie d'administrateur et une stratégie de groupe dynamique pour séparer les rôles et les responsabilités et les restreindre par compartiment. Exemple :

### Simple Policy for Tenant Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in tenancy
Allow group CertificateAuthorityAdmins to manage leaf-certificate-family in tenancy
Allow group CertificateAuthorityAdmins to read vaults in tenancy
Allow group CertificateAuthorityAdmins to read keys in tenancy
Allow group CertificateAuthorityAdmins to use key-delegate in tenancy
```

Ou :

### Policy for a Dynamic Group
```
Allow dynamic-group DynamicGroup to use keys in compartment DEF
Allow dynamic-group DynamicGroup to manage objects in compartment XYZ
```
### Policy for Compartment Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF
```

Reportez-vous à Produits, solutions et services Oracle pour obtenir ce dont vous avez besoin.