Impostare due appliance Thales CipherTrust Cloud Key Manager in OCI, creare un cluster tra queste e configurarne una come autorità di certificazione

Introduzione

Le organizzazioni cercano sempre più un maggiore controllo sulle proprie chiavi crittografiche nell'attuale scenario cloud-first per soddisfare i requisiti di sicurezza, compliance e sovranità dei dati. Cloud Key Manager (CCKM) di Thales CipherTrust offre una soluzione centralizzata per la gestione di chiavi e segreti di cifratura in ambienti multicloud e ibridi, tra cui Oracle Cloud Infrastructure (OCI). Una caratteristica chiave di questa architettura è il supporto per Hold Your Own Key (HYOK), che consente di mantenere il controllo completo sulle chiavi di cifratura anche quando si utilizzano servizi cloud di terze parti.

Questa esercitazione descrive l'impostazione completa di due appliance Thales CCKM in OCI, tra cui:

• Distribuzione di due istanze CCKM.
• Creazione di un cluster High Availability tra di loro.
• Configurazione di una delle appliance come autorità di certificazione (CA) per il rilascio e la gestione dei certificati interni.

Al termine di questa esercitazione, si avrà un ambiente CCKM affidabile e scalabile che supporta casi d'uso chiave come Bring Your Own Key (BYOK), HYOK e la gestione centralizzata del ciclo di vita delle chiavi. Questa impostazione è ideale per le aziende che desiderano estendere il controllo chiave nel cloud, rispettando al contempo i più elevati standard di sicurezza dei dati.

Nota: in questa esercitazione i termini Thales CipherTrust Cloud Key Manager (CCKM) e Thales CipherTrust Manager vengono utilizzati in modo intercambiabile. Entrambi si riferiscono allo stesso prodotto.

Obiettivi

• Task 1: esaminare l'infrastruttura della rete cloud virtuale (VCN) OCI.
• Task 2: Distribuire la prima appliance Thales CCKM.
• Task 3: eseguire la configurazione iniziale sulla prima appliance Thales CCKM.
• Task 4: Distribuire la seconda appliance Thales CCKM ed eseguire la configurazione iniziale su CCKM.
• Task 5: Rivedere la connessione tra le appliance Thales CCKM Remote Peering Connection (RPC).
• Task 6: Configurare DNS.
• Task 7: Configurare la prima appliance Thales CCKM come autorità di certificazione (CA).
• Task 8: Create a cloud service provider (CSR) for both Thales CCKM Appliances and sign them by the CA.
• Task 9: Configurare il clustering dell'appliance Thales CCKM.

Task 1: Analisi dell'infrastruttura VCN (Virtual Cloud Networks) OCI

Prima di implementare le appliance Thales CCKM, è essenziale comprendere l'architettura di rete OCI di base che le supporterà.

In questa configurazione vengono utilizzati due VCN separati:

• Una VCN si trova nell'area OCI Amsterdam (AMS).
• La seconda VCN si trova nell'area OCI Ashburn (ASH).

Queste due region sono connesse tramite un RPC, consentendo una comunicazione sicura e a bassa latenza tra le appliance CCKM in tutte le region. Questa connettività tra più aree è essenziale per l'alta disponibilità, la ridondanza e il clustering dei CCKM.

Le appliance CCKM verranno distribuite nelle subnet pubbliche all'interno di ogni VCN per questa esercitazione. Questo approccio semplifica l'accesso e la gestione iniziale su Internet, ad esempio tramite SSH o l'interfaccia Web. Tuttavia, è importante tenere presente che le procedure ottimali negli ambienti di produzione prevedono la distribuzione di queste appliance in reti secondarie private e la gestione dell'accesso tramite un host bastion o un server stepstone (jump). Ciò riduce l'esposizione degli apparecchi alla rete Internet pubblica e si allinea a una postura di rete più sicura.

Distribuiremo i CCKM all'interno di questa impostazione della VCN revisionata nel task successivo.

Task 2: Implementa la prima appliance Thales CCKM

Prima di distribuire la prima appliance Thales CCKM, dobbiamo assicurarci che l'immagine richiesta sia disponibile in OCI.

Mentre la documentazione ufficiale di Thales in genere consiglia di aprire un caso di supporto per ottenere un URL di storage degli oggetti OCI per importare direttamente l'immagine CCKM in OCI, utilizzeremo un metodo alternativo.

Abbiamo ricevuto un file 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova locale da Thales. Invece di utilizzare l'URL fornito, procederemo come segue.

1. Estrarre il file .vmdk dall'archivio .ova.
2. Caricare il file .vmdk in un bucket di storage degli oggetti OCI.
3. Creare un'immagine personalizzata in OCI dal file .vmdk.
4. Distribuire l'istanza CCKM utilizzando questa immagine personalizzata.

Questo metodo ci dà il controllo completo sul processo di importazione delle immagini ed è particolarmente utile in scenari di distribuzione air-gapped o personalizzati.

• Salvare il file 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova in una nuova cartella sul disco locale.

  

• Estrarre il file .ova.

  

• Si noti il file .vmdk nella cartella estratta.

  

Con l'infrastruttura di rete OCI, siamo pronti a distribuire la prima appliance Thales CCKM nell'area Amsterdam (AMS). Eseguire il login alla Console OCI.

• Passare a Memorizzazione, Storage degli oggetti e fare clic su Bucket.

  

• Assicurarsi di trovarsi nel compartimento corretto e fare clic su Crea bucket.

  

• Immettere le informazioni riportate di seguito e fare clic su Crea per terminare.

  • Nome bucket: immettere CCKM_Bucket.
  • Livello di storage: selezionare Standard (predefinito).
  • Lasciare tutte le altre impostazioni predefinite (a meno che non siano richiesti criteri di cifratura o accesso per il caso d'uso).

  

• Fare clic sul bucket di storage degli oggetti OCI appena creato.

  

• scorrere in Basso.

  

• Fare clic su Carica.

  

• Immettere le informazioni riportate di seguito.

  • In Prefisso nome oggetto immettere 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.
  • Lasciare tutte le altre impostazioni predefinite.
  • Selezionare il file .vmdk (ad esempio, k170v-2.19.0+14195-disk1.vmdk) dal computer locale, quindi fare clic su Carica e attendere il completamento del processo.

  

• Al termine del caricamento, fare clic su Chiudi.

  

• Si noti che il file .vmdk viene caricato.

  

Dopo aver caricato il file .vmdk nel bucket di storage degli oggetti OCI, effettuare le operazioni riportate di seguito per importarlo come immagine personalizzata.

• Andare alla console OCI, andare a Computazione e fare clic su Immagini personalizzate.

  

• Fare clic su Importa immagine.

  

• Immettere quanto segue e fare clic su Importa immagine.

  • Nome: immettere 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.
  • Versione del sistema operativo: corrisponde al sistema operativo all'interno dell'immagine CCKM (consultare la documentazione Thales, in genere una versione di Debian o Ubuntu).
  • Selezionare Importa da un bucket di storage degli oggetti OCI.
  • Bucket: selezionare il bucket.
  • Oggetto: selezionare l'oggetto caricato nella sezione precedente (il file .vmdk).
  • Tipo di immagine: selezionare VMDK.

  

• scorrere in Basso.

  

• Stato di importazione in corso, con percentuale completata durante l'importazione.

  

• Al termine dell'importazione dell'immagine, l'immagine sarà disponibile.

  

• Andare alla console OCI, andare a Computazione e fare clic su Istanze.

  

• Fare clic su Crea istanza.

  

• Immettere le informazioni riportate di seguito.

  • Nome: immettere il nome istanza. Ad esempio, CCKM-1.

  • Selezionare qualsiasi AD disponibile nell'area selezionata (AD esempio, AD-1 AD Amsterdam).

    

• Fare clic su Modifica immagine nella sezione Immagine e forma e selezionare Immagini personalizzate.

  

• Immettere le informazioni riportate di seguito e fare clic su Seleziona immagine.

  • Selezionare Immagini personali.

  • Selezionare Immagini personalizzate.

  • Nome immagine personalizzata: selezionare l'immagine importata. Ad esempio, 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.

    

• Selezionare Forma (VM.Standard.E5.Flex) e configurare OCPU e memoria.

  Nota: controllare i requisiti minimi di specifica di Thales for CCKM (in genere almeno 2 OCPU/8 GB di RAM).

  

• Selezionare la VCN e la subnet esistenti. Utilizzare una subnet pubblica se si desidera avere accesso SSH/web diretto (o subnet privata con bastion se si seguono le procedure ottimali).

  

• Selezionare Assegna automaticamente indirizzo IPv4 privato e Assegna automaticamente indirizzo IPv4 pubblico.

  

• In Aggiungi chiavi SSH selezionare Carica file di chiavi pubbliche e caricare un file .pub. Questa chiave verrà utilizzata per accedere alla VM tramite SSH. Fare clic su Crea.

  

  L'istanza è in stato PROVISIONING.

  

• Quando l'opzione PROVISIONING è stata completata correttamente, lo stato dell'istanza passerà a RUNNING. Notate gli indirizzi IP pubblici e privati di cui avremo bisogno per la configurazione e la gestione in un secondo momento.

  

• Per eseguire il test di SSH, utilizzare l'applicazione Royal TSX e configurare la sessione SSH.

  

• Nella scheda credenziali della sessione Royal TSX specificare il nome utente. Ad esempio, ksadmin.

  

• Assicurarsi anche di selezionare il file di chiave privata corrispondente.

  

• Eseguire il login al CCKM appena distribuito con SSH.

  

• Useremo la GUI web per configurare il CCKM.

• Cercare l'indirizzo IP pubblico o privato se ci si connette internamente utilizzando il browser Web.

• Qualsiasi CA non può convalidare il certificato autofirmato, quindi fare clic su Avanzate.

  

• Procedere comunque con la connessione.

  

• È possibile che venga visualizzato l'errore seguente: non tutti i servizi nell'istanza sono stati avviati. Attendere l'avvio di tutti i servizi; l'operazione può richiedere fino a 5 minuti.

  

• Quando tutti i servizi vengono avviati, viene visualizzato un messaggio che informa che tutti i servizi sono a posto.

  

• Eseguire il login con nome utente come admin e Password come admin. Dopo il primo login, verrà richiesto di modificare la password.

  

• Modificare la password seguendo le istruzioni.

  

• Eseguire il login utilizzando la nuova password.

  

• Si noti che è stato eseguito il login e che la distribuzione di CCKM è riuscita.

  

La seguente immagine illustra lo stato attuale della nostra distribuzione finora.

Task 3: Esecuzione della configurazione iniziale sulla prima appliance Thales CCKM

Ora che la prima appliance CCKM è stata distribuita e accessibile, è giunto il momento di eseguire la configurazione iniziale. Ciò include la configurazione del clock di sistema tramite un server NTP e l'attivazione della licenza di valutazione o della licenza effettiva fornita da Thales.

Queste operazioni garantiscono che l'appliance funzioni in modo tempestivo e accurato per la gestione, il log e la sincronizzazione dei certificati, nonché che sia completamente funzionale durante la fase di valutazione o impostazione.

• Passare a Impostazioni amministrazione, NTP e selezionare Aggiungi server NTP.

  

• Immettere il nome host o l'indirizzo IP di un server NTP affidabile (ad esempio, 169.254.169.254 (IP server NTP pubblico di Oracle) o l'origine NTP interna dell'organizzazione) e fare clic su Aggiungi server NTP.

  

• Si noti che il server NTP è stato aggiunto correttamente. Fare clic su Chiudi.

  

• Verificare che l'ora sia sincronizzata correttamente.

  

• Andare a Impostazioni amministrazione, Licenza e fare clic su Avvia valutazione piattaforma CipherTrust.

  

• scorrere in Basso.  

• Fare clic su Avvia valutazione piattaforma CipherTrust.

  

• L'attivazione della licenza richiederà alcuni minuti.

  

• Controllare la licenza attivata.

  

Task 4: Distribuire la seconda appliance Thales CCKM ed eseguire la configurazione iniziale

Seguire i passaggi indicati nei task 2 e 3 per distribuire il secondo CCKM nell'area ASH.

• Assicurarsi che sia stato distribuito il secondo CCKM e RUNNING.

  

• Verificare la connessione tra SSH e il secondo CCKM.

  

• Verificare la connessione tra web e il secondo CCKM.

  

La seguente immagine illustra lo stato attuale della nostra distribuzione finora.

Task 5: Rivedere la connessione tra Thales CCKM Appliances RPC

Per prepararsi all'alta disponibilità e al clustering tra le due appliance Thales CCKM, è essenziale garantire una connettività adeguata tra le regioni in cui sono distribuite.

Nella nostra configurazione, è stato stabilito un RPC tra le aree OCI Amsterdam (AMS) e Ashburn (ASH). Questo RPC consente una comunicazione sicura e a bassa latenza tra le due reti VCN in cui risiede ogni appliance CCKM.

Cosa è stato configurato:

• RPC (Remote Peering Connection) è stabilita e attiva tra AMS e ASH.
• Le tabelle di instradamento sono configurate in modo appropriato per garantire che il traffico tra le due reti VCN venga inoltrato correttamente.
• Le liste di sicurezza in entrambe le aree sono attualmente configurate per consentire tutto il traffico in entrata e in uscita. Ciò viene fatto per semplificare il test Proof of Concept (PoC) ed eliminare i problemi relativi alla connettività durante il processo di configurazione e clustering iniziale.

Nota:

• In un ambiente di produzione si consiglia di limitare il traffico solo alle porte necessarie per il clustering e la gestione.
• Fare riferimento alla documentazione Thales per conoscere i requisiti esatti delle porte (ad esempio, porte TCP come 443, 8443, 5432 e altre utilizzate dal protocollo cluster CCKM).

Questa configurazione di rete tra più aree garantisce che i CCKM possano comunicare senza problemi durante il processo di creazione del cluster, che affronteremo in una delle seguenti sezioni.

Task 6: Configurare DNS

Una corretta risoluzione DNS è necessaria per consentire una comunicazione perfetta tra le due appliance. Ciò è particolarmente importante per il clustering sicuro, la gestione dei certificati e la stabilità complessiva del servizio.

Nota: da questo momento in poi, le appliance Thales CCKM verranno definite Thales CipherTrust Manager, ovvero CyberTrust Manager.

Durante l'utilizzo di un server DNS interno personalizzato, stiamo sfruttando i servizi DNS OCI con una zona DNS privata in questa distribuzione. Ciò ci consente di assegnare nomi di dominio (FQDN) significativi e completamente qualificati ai responsabili Thales CipherTrust e garantisce che possano comunicare tra le aree senza fare affidamento su IP statici.

• Nome zona DNS privata: immettere oci-thales.lab.
• Ambito: selezionare Privato.
• VCN associate: entrambe le VCN AMS e ASH (per consentire la risoluzione dei nomi tra più aree).

Nella zona oci-thales.lab sono stati creati due record A, che puntano agli IP privati di ogni appliance di Thales CipherTrust Manager:

Nome host	FQDN	Punti a
ctm1	ctm1.oci-thales.lab	IP privato di Thales CipherTrust Manager in AMS
ctm2	ctm2.oci-thales.lab	IP privato di Thales CipherTrust Manager in ASH

L'uso di FQDN semplifica la gestione dei certificati e delle configurazioni del cluster ed evita l'accoppiamento della configurazione agli IP fissi.

• Vai alla console OCI e vai a Reti cloud virtuali. Assicurarsi di trovarsi nell'area AMS.

  

• Fare clic sulla VCN.

  

• Fare clic sul Resolver DNS (per tale VCN).

  

• Fare clic sulla vista privata predefinita (per il resolver DNS e la VCN).

  

• Fare clic su Crea zona.

  

• Immettere le informazioni riportate di seguito e fare clic su Crea.

  • Nome area: immettere oci-thales.lab.
  • Compartimento: selezionare il compartimento corretto.

  

• Fare clic sulla zona.

  

• Fare clic su Gestisci record.

  

• Fare clic su Aggiungi record.

  

• Per creare Un record per ctm1, immettere le informazioni riportate di seguito.

  • Tipo di record: immettere A - indirizzo IPv4.
  • Nome: immettere ctm1.
  • TTL: lasciare l'impostazione predefinita, ad esempio 300.

  

• Immettere l'IP privato di Thales CipherTrust Manager in AMS come RDATA (indirizzo IP) e fare clic su Salva modifiche.

  

• Creare un secondo record A per ctm2.

  • Tipo di record: immettere A - indirizzo IPv4.
  • Nome: immettere ctm2.
  • TTL: lasciare l'impostazione predefinita, ad esempio 300.

  

• Immettere l'IP privato di Thales CipherTrust Manager in ASH come RDATA (indirizzo IP) e fare clic su Salva modifiche.

  

• Fare clic su Pubblica modifiche.

  

• Ripetere gli stessi passi seguiti per AMS ora in ASH per consentire la risoluzione dei nomi DNS in ASH.

  

Per verificare che il DNS funzioni come previsto, eseguire SSH in una delle istanze di Thales CipherTrust Manager ed eseguire ping ctm2.oci-thales.lab dal primo Thales CipherTrust Manager (in esecuzione in AMS).

L'FQDN verrà risolto all'indirizzo IP corretto e quando l'RPC, l'instradamento e le liste di sicurezza sono configurati correttamente, il ping avrà esito positivo.

Ripetere il ping da CTM2 (in esecuzione in ASH) per confermare la risoluzione bidirezionale.

Task 7: Configurare la prima appliance Thales CCKM come autorità di certificazione (CA)

La prima volta che si avvia un manager CipherTrust, viene generato automaticamente un nuovo CipherTrust Manager Root CA locale. Questa CA viene utilizzata per emettere certificati server iniziali per le interfacce disponibili nel sistema. Quindi non c'è bisogno di crearne uno nuovo.

Nota: accertarsi di essere nella gestione AMS Thales CipherTrust.

• Fare clic su CA e selezionare Locale.

• Esaminare la CA locale generata automaticamente (CipherTrust Manager Root CA) che verrà utilizzata per creare e firmare gli CSR.

La seguente immagine illustra lo stato attuale della nostra distribuzione finora.

‌

Task 8: Creare un CSR sia per gli appliance CCKM Thales che per la firma da parte della CA

Con entrambe le appliance di CyberTrust Manager distribuite e DNS configurate, è giunto il momento di abilitare una comunicazione sicura basata su certificato tra le appliance. Poiché AMS Thales CipherTrust Manager e ASH sono configurati come CA, verrà utilizzato AMS Thales CipherTrust Manager per generare e firmare i certificati per entrambe le appliance.

• I passi di alto livello saranno:

  • Generare le richieste di firma dei certificati (CSR) per Thales CipherTrust Manager (AMS e ASH) in AMS Thales CipherTrust Manager.

  • Utilizzare la CA di AMS Thales CipherTrust Manager per firmare entrambi gli addetti al servizio clienti.

  • Installare il certificato firmato in ciascun gestore di Thales CipherTrust.

Ciò garantisce che tutte le comunicazioni di Thales CipherTrust Manager-to-Thales CipherTrust Manager siano sicure e cifrate, un requisito fondamentale per la formazione dei cluster e l'accesso API sicuro.

Nota: eseguire questi passi solo in AMS Thales CipherTrust Manager.

• Eseguire il login alla console AMS di Thales CipherTrust Manager.

• Passare a CA e fare clic su Generatore CSR.

• Immettere le seguenti informazioni e fare clic su Genera CSR e scarica chiave privata.

  • Selezionare CSR generico.
  • Nome comune: immettere il nome FQDN di Thales CipherTrust Manager. Ad esempio, ctm1.oci-thales.lab.
  • Nome visualizzato: immettere un nome. Ad esempio, CTM1 (AMS).
  • Algoritmo: selezionare ECDSA.
  • Dimensione: selezionare 256.
  • Nome alternativo oggetto: includere anche il nome FQDN qui. Ad esempio, ctm1.oci-thales.lab.

  Nota: la chiave privata verrà scaricata automaticamente.

  

• Fare clic su Scarica CSR per scaricare e salvare il file .csr generato.

  

• Ripetere gli stessi passaggi (sempre sul Thales CipherTrust Manager AMS CA).

• Immettere le seguenti informazioni e fare clic su Genera CSR e scarica chiave privata.

  • Selezionare CSR generico.
  • Nome comune: immettere il nome FQDN di Thales CipherTrust Manager. Ad esempio, ctm1.oci-thales.lab.
  • Nome visualizzato: immettere un nome. Ad esempio, CTM2 (AMS).
  • Algoritmo: selezionare ECDSA.
  • Dimensione: selezionare 256.
  • Nome alternativo oggetto: includere anche il nome FQDN qui. Ad esempio, ctm2.oci-thales.lab.

  Nota: la chiave privata verrà scaricata automaticamente.

  

• Fare clic su Scarica CSR per scaricare e salvare il file .csr generato.

  

Per tenere traccia delle richieste di firma dei certificati (CSR) e delle chiavi private generate, è consigliabile creare una struttura di cartelle pulita sul computer locale o su un server di amministrazione sicuro. Ecco un semplice esempio di struttura:

• Passare ad CA, Locale e selezionare la CA.

  

• Fare clic su Carica CSR.

  

• Utilizzare il nome FQDN di Thales CipherTrust Manager (ad esempio, ctm1.oci-thales.lab) come Nome visualizzato e copiare il contenuto della richiesta di firma certificato generata nel campo CSR.

  

• Selezionare Server come Scopo certificato e fare clic su Certificato problema.

  

• Fare clic sui tre punti alla fine della voce del certificato firmato e fare clic su Scarica per scaricare il certificato firmato per CTM1.

  

• Ripetere gli stessi passaggi (sempre sul Thales CipherTrust Manager AMS CA).

• Utilizzare il nome FQDN di Thales CipherTrust Manager (ad esempio, ctm2.oci-thales.lab) come Nome visualizzato e copiare il contenuto della richiesta di firma certificato generata nel campo CSR.

  

• Selezionare Server come Scopo certificato e fare clic su Certificato problema.

  

• Fare clic sui tre punti alla fine della voce del certificato firmato e fare clic su Scarica per scaricare il certificato firmato per CTM2.

  

• Rinominare e memorizzare i certificati firmati nella struttura di cartelle creata.

  

Oltre a firmare i singoli certificati di Thales CipherTrust Manager, il Certificato root CA è un elemento fondamentale della catena di affidabilità. Questo certificato root stabilisce le basi dell'attendibilità per tutti i certificati emessi dal Gestore CipherTrust di Thales, in qualità di CA.

• Passare ad CA, Locale, fare clic sui tre punti alla fine di AMS CA di Thales CipherTrust Manager e fare clic su Scarica per scaricare il certificato CA radice di AMS CA di Thales CipherTrust Manager.

  

• Memorizza il certificato radice scaricato nella struttura di cartelle creata.

  

• Il passo successivo consiste nel creare un file completo della catena di certificati che raggruppi il certificato firmato, il certificato radice della CA e la chiave privata in un singolo file.

  Ciò è richiesto da applicazioni o appliance come Thales CipherTrust Manager per una configurazione TLS trasparente.

  -----BEGIN CERTIFICATE-----
  Signed CTM1 Cert by CA
  -----END CERTIFICATE-----
  -----BEGIN CERTIFICATE-----
  Root CA Cert
  -----END CERTIFICATE-----
  -----BEGIN EC PRIVATE KEY-----
  Private Key
  -----END EC PRIVATE KEY-----
  

• Eseguire questa operazione sia per i responsabili Thales CipherTrust che per memorizzare i file di certificato appena concatenati nella struttura di cartelle creata.

  

• Dopo aver creato i certificati firmati presso l'autorità di certificazione e aver preparato i file completi della catena di certificati, il passo successivo consiste nel caricarli su ogni appliance di Thales CipherTrust Manager.

  Iniziamo con il primo CTM1 in esecuzione in AMS.

• Passare a Impostazioni amministrazione, Interfacce, fare clic sui tre punti dell'interfaccia Web e selezionare Opzioni certificato rinnovo.

  

• Selezionare Carica/Genera e fare clic su OK.

  

• Caricare il certificato della catena completa per CTM1 utilizzando il formato PEM e fare clic su Carica certificato.

  

• Di nuovo, fare clic sui tre punti dell'interfaccia Web e selezionare Opzioni certificato rinnovo.

  

• Selezionare Applica, quindi fare clic su OK.

  

• Fare clic su Applica.

  

• Fare clic su Pagina Servizi.

  

• Fare clic su System Restart.

  

• Fare clic su Riavvia servizi per riavviare il server e i servizi Web per attivare il nuovo certificato.

  

• Ripetere la stessa procedura per CTM2 in esecuzione in ASH.

• Per testare il certificato appena firmato nell'ambiente locale utilizzando Google Chrome, è necessario prima installarlo e la relativa catena CA nell'archivio certificati sicuro del sistema operativo.

  Questo non rientra nell'ambito di questo tutorial, ma vi mostreremo come abbiamo testato i nuovi certificati Thales CipherTrust Manager firmati da Thales CipherTrust Manager AMS CA.

• Aprire le impostazioni del browser Google Chrome, andare a Privacy e sicurezza e fare clic su Sicurezza.

  

• Fare clic su Gestisci certificati.

  

• Fare clic su Certificati locali e nella sezione Personalizzato fare clic su Instruito dall'utente.

• I certificati a catena completa e il certificato radice sono già stati importati nel sistema operativo locale.

  È inoltre possibile importare i certificati; questo pulsante Importa consente di accedere alle impostazioni dei certificati a livello di sistema operativo.

  

• Poiché il server DNS non è stato configurato su Internet, stiamo aggiornando il file /etc/hosts locale con le voci host manuali per eseguire il test dei certificati dal computer locale utilizzando il nome FQDN.

  

• Sfoglia il FQDN CTM1 utilizzando Google Chrome e fai clic sulle impostazioni di sicurezza.

  

• Fare clic su Connessione sicura.

  

• Fare clic su Certificato valido.

  

• Rivedere i dettagli dell'Emesso a.

  

Task 9: Configura cluster di appliance Thales CCKM

Le appliance Clustering Thales CipherTrust Cloud Key Manager (CCKM) consentono l'alta disponibilità e il bilanciamento del carico per la gestione delle chiavi crittografiche. Ciò garantisce un servizio continuo e una tolleranza agli errori nell'infrastruttura di sicurezza.

Il clustering viene configurato interamente dalla console di gestione di una singola appliance Thales CipherTrust Manager (in questo esempio, Thales CipherTrust Manager in esecuzione in AMS). Utilizzare questa interfaccia dell'appliance per creare il cluster e aggiungere altre appliance Thales CipherTrust Manager come nodi del cluster.

• Andare a Impostazioni amministrazione, Cluster e fare clic su Gestisci cluster.

  

• Fare clic su Aggiungi cluster

  

• Fare clic su Avanti.

  

• Immettere il nome host di AMS Thales CipherTrust Manager (che è CTM1 in AMS con IP privato 10.222.10.111).

  Non intendiamo utilizzare (o creare) un cluster su Internet utilizzando l'IP pubblico, quindi stiamo utilizzando l'indirizzo IP privato in entrambi i campi.

• Fare clic su Aggiungi cluster.

  

• Si noti che il computer ha creato un nuovo cluster e fa parte del relativo cluster.

  

• Nello stesso AMS CTM1, fare clic su Gestisci cluster e selezionare Aggiungi nodo per aggiungere il file ASH CTM2.

  

• Specificare l'indirizzo IP di ASH Thales CipherTrust Manager come nodo da aggiungere al cluster. È possibile utilizzare il nome DNS qui.

• Fare clic su Aggiungi nodo.

  

• Una nuova finestra/scheda del browser verrà aperta all'indirizzo ASH CMT2. Se non si è eseguito il login a ASH CMT2, è possibile che venga visualizzato prima un prompt di login.

• Alcune attività di configurazione del cluster verranno eseguite in background.

  

• Fare clic su Partecipa per confermare il join.

  

• Un'ulteriore attività di configurazione del cluster verrà eseguita in background.

  

• Fare clic su Fine per confermare il messaggio Operazione riuscita.

  

• Se la finestra o la scheda del browser appena aperta è ancora aperta, è possibile chiuderla manualmente.

  

• In AMS CTM1, fare clic su Fine per confermare.

  

• All'inizio, il nodo appena aggiunto (ASH CTM2) apparirà in basso. Attendere alcuni minuti in modo che il cluster possa rilevarne la presenza.

  

• Nella parte superiore dello schermo potrebbe essere visualizzato anche un messaggio di errore. Ciò significa che il cluster è ancora in modalità di configurazione. Attendere qualche minuto per la scomparsa del messaggio.

  

Per verificare se la configurazione del cluster di Thales CipherTrust Manager è stata eseguita correttamente ed è in buono stato, è possibile controllare CTM1 e CTM2.

• In CTM1, andare a Impostazioni amministrazione e fare clic su Cluster.

  • Si noti che l'indirizzo IP 10.222.10.111 proviene da questo server (AMS CTM1).
  • Si noti l'altro nodo (10.111.10.32) dal server remoto (ASH CTM2).

  

• In CTM2, andare a Impostazioni amministrazione e fare clic su Cluster.

  • Si noti che l'indirizzo IP 10.111.10.32 proviene da questo server (ASH CTM2).

  • Si noti l'altro nodo (10.222.10.111) dal server remoto (AMS CTM1).

    

La seguente immagine illustra lo stato attuale della nostra distribuzione finora.

Passi successivi

In questa esercitazione è possibile impostare correttamente due appliance CCKM Thales all'interno di OCI, stabilire un cluster sicuro tra di esse e configurare un'appliance come CA. Hai creato un ambiente di gestione delle chiavi sicuro e ad alta disponibilità seguendo il processo dettagliato dalla distribuzione delle appliance e dalla configurazione dell'infrastruttura di rete alla creazione e firma di CSR e all'abilitazione del clustering. Questa impostazione garantisce operazioni di crittografia solide con gestione centralizzata dei certificati, ottimizzando la sicurezza e la resilienza operativa nell'ambiente OCI.

Se si desidera implementare Hold Your Own Key (HYOK) utilizzando Thales CipherTrust Manager senza l'opzione OCI API Gateway, seguire questa esercitazione: Impostare OCI Hold Your Own Key utilizzando Thales CipherTrust Manager senza OCI API Gateway.

Se si desidera implementare Hold Your Own Key (HYOK) utilizzando Thales CipherTrust Manager con l'opzione OCI API Gateway, seguire questa esercitazione: Impostare OCI Hold Your Own Key utilizzando Thales CipherTrust Manager con OCI API Gateway.

Collegamenti correlati

• Thales CCKM versione 2.19: distribuzione di Oracle Cloud

• Creazione di una zona DNS privata

• Thales CCKM versione 2.19: Autorità di certificazione

• Thales: creazione di una richiesta di firma certificato nella console

• Thales: firma di una richiesta di certificato con una CA locale

• Thales CCKM versione 2.19: Rinnovo certificato interfaccia Web

• Thales CCKM versione 2.19: creazione di una nuova configurazione cluster

Conferme

• Autore: Iwan Hoogendoorn (Cloud Networking Black Belt)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority

G38088-01

Copyright ©2025, Oracle and/or its affiliates.