1. Applications Web sécurisées hébergées sur Oracle Cloud VMware Solution avec des certificats OCI
  2. Configurer

Configurer

Découvrez les étapes de configuration nécessaires pour utiliser les certificats X509 sur un équilibreur de charge devant l'environnement VMware.

Effectuez les activités suivantes.

  1. Créer des certificats.
  2. Connectez la charge globale du SDDC avec LBaaS.
  3. Utilisez les certificats dans OCI LBaaS.

Créer un groupe dynamique

Un groupe dynamique est créé pour permettre aux certificats OCI (solution de gestion des certificats) d'accéder aux clés dans OCI Vault.

  1. Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
  2. Sous Identité, cliquez sur Domaines.
  3. Cliquez sur le lien Par défaut.
  4. Dans le menu de gauche, cliquez sur Groupes dynamiques.
  5. Cliquez sur le bouton Créer un groupe dynamique.
  6. Dans le champ Nom, entrez Dynamic-group-cert-authority.
  7. Dans le champ Règle 1, entrez resource.type = 'certificateauthority'.
  8. Cliquez sur le bouton Créer.
Le groupe Dynamic-group-cert-authority est créé.

Créer une stratégie

La stratégie permet au groupe dynamique d'accéder aux clés du coffre pour créer une autorité de certification. Elle peut également autoriser un groupe d'utilisateurs à gérer des certificats OCI (facultatif).

Une stratégie peut comporter plusieurs instructions. Selon la conception, toutes les instructions peuvent être placées dans une ou plusieurs stratégies. Une stratégie comporte deux parties : habiliter le service de certificats à accéder à la clé et à créer des certificats, et permettre à un utilisateur de gérer des certificats OCI.
  1. Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
  2. Sous Identité, cliquez sur Stratégies.
  3. Cliquez sur le bouton Create Policy.
  4. Dans le champ Nom, entrez Cert-Auth-Ocvs.
  5. Dans le champ Description, entrez OCVS.
  6. Cliquez sur le bouton à bascule Afficher l'éditeur manuel.
  7. Dans le champ Générateur de stratégies, entrez : 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. Cliquez sur Créer.
    La stratégie Cert-Auth-Ocvs est créée.

Création d'un coffre

Une fois les stratégies définies, une autorité de certification privée peut être créée, qui utilisera la clé stockée dans OCI Vault.

Si vous disposez déjà d'un coffre-fort, vous pouvez sauter ces étapes et passer à la section suivante.
  1. Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
  2. Sous Gestion des clés et gestion des clés secrètes, cliquez sur Coffre.
  3. Cliquez sur le bouton Créer un coffre.
  4. Dans le champ Créer dans le compartiment, assurez-vous que Ocvs est sélectionné.
  5. Dans le champ Nom, entrez WebCert.
  6. Cliquez sur le bouton Créer un coffre.
    Le coffre WebCert est créé.

Création d'une clé maître et d'une clé de cryptage

La clé maître, la clé privée de l'autorité de certification, est créée. Les certificats OCI prennent uniquement en charge les clés stockées dans HSM et non dans la section logicielle d'OCI Vault.

Le coffre WebCert doit avoir été créé et son état doit être Actif avant de suivre ces étapes.
  1. Dans la console OCI, cliquez sur le menu, puis sur Gestion des clés et gestion des clés secrètes.

    Remarques :

    Si vous suivez la tâche précédente, vous devriez déjà voir l'écran Vault.
  2. Cliquez sur le lien WebCert.
  3. Cliquez sur le bouton Créer une clé.
  4. Sous Mode de protection, assurez-vous que HSM est sélectionné.
  5. Dans le champ Nom, entrez OCVS.
  6. Sous Forme de clé : Algorithme, sélectionnez RSA.
  7. Cliquez sur le bouton Créer une clé.
La clé maître et les clés de cryptage sont créées.

Créer une autorité de certification

Une fois le coffre créé et la clé stockée, l'autorité de certification privée peut être créée. En cas d'échec, les stratégies peuvent ne pas être correctes ou les limites de service peuvent être dépassées.

  1. Dans la console OCI, cliquez sur le menu, puis sur Identité et sécurité.
  2. Sous Certificats, cliquez sur Autorités de certification.
  3. Cliquez sur le bouton Créer une autorité de certification.
  4. Dans le champ Nom, entrez OCVS.
  5. Cliquez sur le bouton Suivant.
  6. Dans le champ Nom commun, saisissez ocvs.local.
  7. Cliquez sur le bouton Suivant, Suivant, puis Suivant à nouveau.
  8. Sur la page Configuration de la révocation, activez Ignorer la révocation.
  9. Cliquez sur le bouton Suivant.
  10. Vérifiez le récapitulatif, puis cliquez sur le bouton Créer une autorité de certification.
  11. Cliquez sur le lien Fermer.
L'autorité de certification OCVS est créée.

Remarques :

OCI Certificates fournit aux entreprises des fonctionnalités d'émission, de stockage et de gestion de certificats. Pour savoir comment gérer vos certificats, reportez-vous à Explorer davantage.

Émettre un certificat

Émettez un certificat SSL/TLS qui sera utilisé pour vérifier l'identité et sécuriser la communication réseau.

  1. Dans la console OCI, cliquez sur le menu, puis sur Autorités de certificat sous Certificats.

    Remarques :

    Si vous suivez la tâche précédente, vous devriez déjà voir l'écran Certificate Authorities.
  2. Cliquez sur le lien OCVS.
  3. Cliquez sur le bouton Emettre un certificat.
  4. Dans le champ Nom, entrez ocvssecurity.
  5. Cliquez sur le bouton Suivant.
  6. Dans le champ Nom commun, saisissez ocvs.local.
  7. Cliquez sur le bouton Suivant.
  8. Sous Type de profil de certificat, sélectionnez Serveur TLS.
  9. Sous Non valide après, cliquez sur le bouton de calendrier et sélectionnez une date.
  10. Cliquez sur le bouton Suivant, puis Suivant à nouveau.
  11. Cliquez sur Créer un certificat.
Le certificat OCVS est créé.

Configuration de la connectivité aux ressources VCN

Activez la communication entre le segment NSX où les serveurs Web sont déployés et le sous-réseau public OCI où l'équilibreur de charge sera déployé à l'étape suivante.

  1. Dans la console OCI, cliquez sur le menu, puis sur Hybride.
  2. Sous Solution VMware, cliquez sur Centres de données définis par logiciel.
  3. Cliquez sur le bouton Configurer la connectivité aux ressources VCN.
  4. Dans le champ CIDR de charge globale de SDDC, entrez l'adresse IP du segment NSX du serveur Web (par exemple, 192.168.10.0/24).
  5. Cliquez sur le bouton Ajouter des sous-réseaux.
  6. Cliquez sur la case à cocher en regard du sous-réseau Public.
  7. Cliquez sur le bouton Ajouter des sous-réseaux.
  8. Cliquez sur le bouton Suivant.
La connectivité aux ressources VCN est configurée.

Création et déploiement d'un équilibreur de charge

Créez un équilibreur de charge OCI qui réside devant l'infrastructure OCVS.

  1. Dans la console OCI, cliquez sur le menu, puis sur Fonctions de réseau.
  2. Sous équilibreurs de charge, cliquez sur équilibreur de charge.
  3. Cliquez sur le bouton Créer un équilibreur de charge.
  4. Sous Netwok cloud virtuel dans Ocvs, sélectionnez OCVS-INTEL-VCN.
  5. Sous Sous-réseau dans Ocvs, sélectionnez Public (régional).
  6. Cliquez sur le bouton Suivant, puis Suivant à nouveau.

    Remarques :

    Les back-ends seront ajoutés ultérieurement.
  7. Sous Certificat dans Ocvs, sélectionnez ocvssecurity.
  8. Cliquez sur le bouton Suivant.
  9. Sous Groupe de journaux, sélectionnez le groupe de journaux indiqué ou celui qui a déjà été créé.

    Remarques :

    Un groupe de journaux est requis pour stocker les fichiers journaux.
  10. Cliquez sur le bouton Soumettre.
  11. Cliquez sur le bouton Aller à la vérification intelligente.

    Remarques :

    L'avertissement de vérification intelligente s'affiche car nous avons précédemment ignoré l'ajout du back-end.
  12. Dans l'angle inférieur gauche, sous Ressources, cliquez sur le lien Ensembles de back-ends.
  13. Sous Ensembles de back-ends, cliquez sur le lien du back-end (par exemple, bs_lb_2023-1003-1521).

    Remarques :

    L'équilibreur de charge doit être créé et son état défini sur Actif.
  14. Sous Ressources, cliquez sur le lien Ensembles de back-ends.
  15. Sous Ensembles de back-ends, cliquez sur le lien du back-end (par exemple, bs_lb_2023-1003-1521).
  16. Sous Ressources, cliquez sur le lien Back-ends.
  17. Cliquez sur le bouton Ajouter des back-ends.
  18. Cliquez sur le bouton radio Adresses IP.
  19. Dans le champ adresse IP, entrez l'adresse IP des serveurs Web Ubuntu.
  20. Cliquez sur le bouton Back-end supplémentaire et entrez l'adresse IP de chaque back-end que vous ajoutez.
  21. Cliquez sur le bouton Ajouter.
  22. Cliquez sur le bouton Fermer.
Les serveurs back-end sont déployés sur OCVS.

Vérifiez la configuration

Vérifiez l'infrastructure de support.

  1. Dans la console OCI, cliquez sur le menu, puis sur Fonctions de réseau.
  2. Sous équilibreurs de charge, cliquez sur équilibreur de charge.
  3. Sous Adresse IP, copiez l'adresse IP publique de l'équilibreur de charge.
  4. Ouvrez un nouvel onglet de navigateur, puis accédez à l'URL https:// suivie de l'adresse IP copiée.
La page de bienvenue des serveurs Web installés s'affiche. Si vous rencontrez des problèmes, essayez ce qui suit :
  • Vérifiez que la passerelle Internet fonctionne.
  • Vérifiez que les tables de routage peuvent accéder à Internet.
  • Vérifiez que les protocoles sont autorisés pour les règles de sécurité et les groupes réseau.