1. Proteggi le applicazioni Web ospitate su Oracle Cloud VMware Solution con i certificati OCI
  2. Configura

Configura

Informazioni sui passi di configurazione necessari per l'uso dei certificati X509 in un load balancer di fronte all'ambiente VMware.

Eseguire le attività riportate di seguito.

  1. Creazione di certificati.
  2. Connettere il carico di lavoro dell'SDDC con LBaaS.
  3. Utilizzare i certificati in OCI LBaaS.

Crea un gruppo dinamico

Viene creato un gruppo dinamico per consentire ai certificati OCI (la soluzione di gestione dei certificati) di accedere alle chiavi in OCI Vault.

  1. Nella console OCI, fare clic sul menu, quindi su Identità e sicurezza.
  2. In identità fare clic su Domini.
  3. Fare clic sul collegamento Predefinito.
  4. Nel menu a sinistra fare clic su Gruppi dinamici.
  5. Fare clic sul pulsante Crea gruppo dinamico.
  6. Nel campo Nome immettere Dynamic-group-cert-authority.
  7. Nel campo Regola 1 immettere resource.type = 'certificateauthority'.
  8. Fare clic sul pulsante Create.
Viene creato il gruppo Dynamic-group-cert-authority.

Creare un criterio

Il criterio consente al gruppo dinamico di accedere alle chiavi dal vault per creare un'autorità di certificazione. Facoltativamente, può anche consentire a un gruppo di utenti di gestire i certificati OCI.

Un criterio può avere diverse istruzioni. In base alla progettazione, tutte le istruzioni possono essere inserite in uno o più criteri. Un criterio include due parti: abilitare il servizio certificati ad accedere alla chiave e creare certificati e consentire a un utente di gestire i certificati OCI.
  1. Nella console OCI, fare clic sul menu, quindi su Identità e sicurezza.
  2. In Identità fare clic su Criteri.
  3. Fare clic sul pulsante Crea criterio.
  4. Nel campo Nome immettere Cert-Auth-Ocvs.
  5. Nel campo Descrizione immettere OCVS.
  6. Fare clic sull'opzione di attivazione/disattivazione Mostra editor manuale.
  7. Nel campo Costruzione guidata criteri immettere: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. Fare clic su Crea.
    Viene creato il criterio Cert-Auth-Ocvs.

Crea un vault

Una volta definiti i criteri, è possibile creare un'autorità di certificazione privata che utilizzerà la chiave memorizzata nel Vault OCI.

Se già si dispone di un vault, è possibile saltare questi passi e passare alla sezione successiva.
  1. Nella console OCI, fare clic sul menu, quindi su Identità e sicurezza.
  2. In Gestione di chiavi e segreti, fare clic su Vault.
  3. Fare clic sul pulsante Crea vault.
  4. Nel campo Crea nel compartimento assicurarsi che l'opzione Ocvs sia selezionata.
  5. Nel campo Nome immettere WebCert.
  6. Fare clic sul pulsante Crea vault.
    Viene creato il vault WebCert.

Creare una chiave master e una chiave di cifratura

Viene creata la chiave master, la chiave privata dell'autorità di certificazione. OCI Certificates supporta solo le chiavi memorizzate in HSM e non nella sezione software di OCI Vault.

È necessario creare il vault WebCert e il relativo stato deve essere Attivo prima di seguire questi passi.
  1. Nella console OCI, fare clic sul menu, quindi su Gestione chiavi e gestione dei segreti.

    Nota

    Se si sta seguendo il task precedente, si dovrebbe già visualizzare la schermata Vault.
  2. Fare clic sul collegamento WebCert.
  3. Fare clic sul pulsante Crea chiave.
  4. In Modalità di protezione, assicurarsi che l'opzione HSM sia selezionata.
  5. Nel campo Nome immettere OCVS.
  6. In Forma chiave: algoritmo selezionare RSA.
  7. Fare clic sul pulsante Crea chiave.
Vengono create la chiave master e le chiavi di cifratura.

Creazione di un'autorità di certificazione

Una volta creato il vault e memorizzato la chiave, è possibile creare l'autorità di certificazione privata. In caso di errore, i criteri potrebbero non essere corretti o i limiti del servizio potrebbero essere superati.

  1. Nella console OCI, fare clic sul menu, quindi su Identità e sicurezza.
  2. In Certificati fare clic su Autorità di certificazione.
  3. Fare clic sul pulsante Crea autorità di certificazione.
  4. Nel campo Nome immettere OCVS.
  5. Fare clic sul pulsante Successivo.
  6. Nel campo Nome comune, immettere ocvs.local.
  7. Fare clic sul pulsante Successivo, quindi su Successivo e infine su Successivo.
  8. Nella pagina Configurazione revoca abilitare Salta revoca.
  9. Fare clic sul pulsante Successivo.
  10. Rivedere il sintetico, quindi fare clic sul pulsante Crea autorità di certificazione.
  11. Fare clic sul collegamento Chiudi.
Viene creata l'autorità di certificazione OCVS.

Nota

I certificati OCI forniscono alle organizzazioni funzionalità di emissione, storage e gestione dei certificati. Per ulteriori informazioni su come gestire i certificati, vedere Esplora altro.

Emettere un certificato

Emettere un certificato SSL/TLS che verrà utilizzato per verificare l'identità e proteggere la comunicazione di rete.

  1. Nella console OCI, fare clic sul menu, quindi su Autorità di certificazione in Certificati.

    Nota

    Se si sta seguendo il task precedente, dovrebbe essere già visualizzata la schermata Autorità di certificazione.
  2. Fare clic sul collegamento OCVS.
  3. Fare clic sul pulsante Esegui certificato.
  4. Nel campo Nome immettere ocvssecurity.
  5. Fare clic sul pulsante Successivo.
  6. Nel campo Nome comune, immettere ocvs.local.
  7. Fare clic sul pulsante Successivo.
  8. In Tipo profilo certificato selezionare Server TLS.
  9. In Non valido dopo, fare clic sul pulsante del calendario e selezionare una data.
  10. Fare clic sul pulsante Successivo, quindi di nuovo Successivo.
  11. Fare clic sul pulsante Crea certificato.
Viene creato il certificato OCVS.

Configurare la connettività per le risorse VCN

Abilita la comunicazione tra il segmento NSX in cui vengono distribuiti i server Web e la subnet pubblica OCI in cui verrà distribuito il load balancer nel passo successivo.

  1. Nella console OCI, fare clic sul menu, quindi su Ibrido.
  2. In VMware Solution, fare clic su Software-Defined Data Center.
  3. Fare clic sul pulsante Configura connettività per le risorse VCN.
  4. Nel campo CIDR carico di lavoro SDDC immettere l'indirizzo IP del segmento NSX del server Web, ad esempio 192.168.10.0/24.
  5. Fare clic sul pulsante Aggiungi subnet.
  6. Fare clic sulla casella di controllo accanto alla subnet Pubblica.
  7. Fare clic sul pulsante Aggiungi subnet.
  8. Fare clic sul pulsante Successivo.
La connettività alle risorse VCN è configurata.

Creare e distribuire un load balancer

Crea un load balancer OCI che si trova di fronte all'infrastruttura OCVS.

  1. Nella console OCI, fare clic sul menu, quindi su Networking.
  2. In Load balancer, fare clic su Load balancer.
  3. Fare clic sul pulsante Crea load balancer.
  4. In Virtual cloud netwok in Ocvs, selezionare OCVS-INTEL-VCN.
  5. In Subnet in Ocvs, selezionare Public (regional).
  6. Fare clic sul pulsante Successivo, quindi di nuovo Successivo.

    Nota

    I backend verranno aggiunti in seguito.
  7. In Certificate in Ocvs selezionare ocvssecurity.
  8. Fare clic sul pulsante Successivo.
  9. In Gruppo di log selezionare il gruppo di log indicato oppure uno già creato.

    Nota

    Per memorizzare i file di log è necessario un gruppo di log.
  10. Fare clic sul pulsante Invia.
  11. Fare clic sul pulsante Vai a controllo intelligente.

    Nota

    L'avvertenza Smart Check viene visualizzata perché in precedenza è stata saltata l'aggiunta del backend.
  12. Nell'angolo inferiore sinistro, in Risorse, fare clic sul collegamento Set backend.
  13. In Set backend fare clic sul collegamento del backend (ad esempio, bs_lb_2023-1003-1521).

    Nota

    Il load balancer deve essere creato e il relativo stato deve essere impostato su Attivo.
  14. In Risorse, fare clic sul collegamento Set backend.
  15. In Set backend fare clic sul collegamento del backend (ad esempio, bs_lb_2023-1003-1521).
  16. In Risorse, fare clic sul collegamento Backend.
  17. Fare clic sul pulsante Aggiungi backend.
  18. Fare clic sul pulsante di opzione Indirizzi IP.
  19. Nel campo indirizzo IP, immettere l'indirizzo IP dei Web server Ubuntu.
  20. Fare clic sul pulsante Backend aggiuntivo e immettere l'indirizzo IP per ogni backend che si sta aggiungendo.
  21. Fare clic sul pulsante Aggiungi.
  22. Fare clic sul pulsante Chiudi.
I server backend vengono distribuiti su OCVS.

Controllare la configurazione

Controllare l'infrastruttura di supporto.

  1. Nella console OCI, fare clic sul menu, quindi su Networking.
  2. In Load balancer, fare clic su Load balancer.
  3. In indirizzo IP, copiare l'indirizzo IP pubblico del load balancer.
  4. Aprire una nuova scheda del browser, quindi andare all'URL https:// seguito dall'indirizzo IP copiato.
Viene visualizzata la pagina iniziale dei server Web installati. Se si verificano problemi, provare quanto segue:
  • Controllare che il gateway Internet funzioni.
  • Controllare che le tabelle di routing possano accedere a Internet.
  • Controllare che i protocolli siano consentiti per le regole di sicurezza e i gruppi di rete.