1. OCI証明書を使用したOracle Cloud VMware SolutionでホストされるセキュアなWebアプリケーション
  2. 構成

構成

VMware環境の前のロード・バランサでX509証明書を使用するために必要な構成ステップについて学習します。

次のアクティビティを実行します。

  1. 証明書の作成
  2. SDDCワークロードをLBaaSに接続します。
  3. OCI LBaaSの証明書を使用します。

動的グループの作成

OCI証明書(証明書管理ソリューション)がOCI Vaultのキーにアクセスできるように、動的グループが作成されます。

  1. OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
  2. 「アイデンティティ」で、「ドメイン」をクリックします。
  3. 「デフォルト」リンクをクリックします。
  4. 左側のメニューで「動的グループ」をクリックします。
  5. 「動的グループの作成」ボタンをクリックします。
  6. 「名前」フィールドにDynamic-group-cert-authorityと入力します。
  7. 「ルール1」フィールドに、resource.type = 'certificateauthority'と入力します。
  8. 「作成」ボタンをクリックします。
Dynamic-group-cert-authorityグループが作成されます。

ポリシーの作成

このポリシーにより、動的グループはボールトからキーにアクセスして認証局を作成できるようになります。オプションで、ユーザーのグループにOCI証明書の管理を許可することもできます。

ポリシーには複数のステートメントを含めることができます。設計に基づいて、すべての文を1つまたは複数のポリシーに配置できます。ポリシーには、証明書サービスに資格を付与してキーにアクセスし、証明書を作成することと、ユーザーがOCI証明書を管理することの2つの部分があります。
  1. OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
  2. 「アイデンティティ」で、「ポリシー」をクリックします。
  3. 「ポリシーの作成」ボタンをクリックします。
  4. 「名前」フィールドに、Cert-Auth-Ocvsと入力します。
  5. 「説明」フィールドにOCVSと入力します。
  6. 「手動エディタの表示」トグルをクリックします。
  7. 「ポリシー・ビルダー」フィールドに、次のように入力します: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. 「作成」をクリックします。
    Cert-Auth-Ocvsポリシーが作成されます。

ボールトの作成

ポリシーを定義したら、OCI Vaultに格納されているキーを使用するプライベート認証局を作成できます。

すでにボールトがある場合は、これらのステップをスキップして次のセクションに進むことができます。
  1. OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
  2. 「キー管理とシークレット管理」で、「Vault」をクリックします。
  3. 「Vaultの作成」ボタンをクリックします。
  4. 「コンパートメントに作成」フィールドで、「Ocvs」が選択されていることを確認します。
  5. 「名前」フィールドに、WebCertと入力します。
  6. 「Vaultの作成」ボタンをクリックします。
    WebCertボールトが作成されます。

マスター・キーおよび暗号化キーの作成

認証局の秘密鍵であるマスター鍵が作成されます。OCI証明書は、OCI Vaultのソフトウェア・セクションではなく、HSMに格納されたキーのみをサポートします。

これらのステップを実行する前に、WebCertボールトを作成し、その状態アクティブにする必要があります。
  1. OCIコンソールで、メニュー、キー管理とシークレット管理の順にクリックします。

    ノート:

    前のタスクからフォローしている場合は、すでに「Vault」画面が表示されます。
  2. WebCertリンクをクリックします。
  3. 「キーの作成」ボタンをクリックします。
  4. 「保護モード」で、「HSM」が選択されていることを確認します。
  5. 「名前」フィールドに、OCVSと入力します。
  6. 「キー・シェイプ: アルゴリズム」で、「RSA」を選択します。
  7. 「キーの作成」ボタンをクリックします。
マスター鍵と暗号化鍵が作成されます。

認証局の作成

ボールトを作成してキーを格納すると、プライベート認証局を作成できます。これが失敗した場合、ポリシーが正しくないか、サービス制限を超える可能性があります。

  1. OCIコンソールで、メニュー、「アイデンティティとセキュリティ」の順にクリックします。
  2. 「証明書」で、「認証局」をクリックします。
  3. 「認証局の作成」ボタンをクリックします。
  4. 「名前」フィールドに、OCVSと入力します。
  5. 「次へ」ボタンをクリックします。
  6. 「共通名」フィールドに、ocvs.localと入力します。
  7. 「次へ」「次へ」「次へ」の順にクリックします。
  8. 「失効構成」ページで、「失効のスキップ」を有効にします。
  9. 「次へ」ボタンをクリックします。
  10. サマリーを確認し、「認証局の作成」ボタンをクリックします。
  11. 「閉じる」リンクをクリックします。
OCVS認証局が作成されます。

ノート:

OCI証明書は、組織に証明書の発行、ストレージおよび管理機能を提供します。証明書の管理方法を学習するには、「詳細を確認する」を参照してください。

証明書の発行

ネットワーク通信のアイデンティティの検証および保護に使用されるSSL/TLS証明書を発行します。

  1. OCIコンソールで、メニューをクリックし、「証明書」の下の「認証局」をクリックします。

    ノート:

    前のタスクからフォローしている場合は、すでに「認証局」画面が表示されます。
  2. OCVSリンクをクリックします。
  3. 「Issue Certificate」ボタンをクリックします。
  4. 「名前」フィールドに、ocvssecurityと入力します。
  5. 「次へ」ボタンをクリックします。
  6. 「共通名」フィールドに、ocvs.localと入力します。
  7. 「次へ」ボタンをクリックします。
  8. 「証明書プロファイル・タイプ」で、「TLSサーバー」を選択します。
  9. 「有効終了日」で、カレンダ・ボタンをクリックして日付を選択します。
  10. 「次」ボタンをクリックして、もう一度「次」をクリックします。
  11. 「証明書の作成」ボタンをクリックします。
OCVS証明書が作成されます。

VCNリソースへの接続の構成

WebサーバーがデプロイされているNSXセグメントと、次のステップでロード・バランサがデプロイされるOCIパブリック・サブネットとの間の通信を有効にします。

  1. OCIコンソールで、メニュー、「ハイブリッド」の順にクリックします。
  2. 「VMwareソリューション」で、「ソフトウェア定義データ・センター」をクリックします。
  3. 「VCNリソースへの接続の構成」ボタンをクリックします。
  4. 「SDDCワークロードCIDR」フィールドに、WebサーバーのNSXセグメントIPアドレス(192.168.10.0/24など)を入力します。
  5. 「サブネットの追加」ボタンをクリックします。
  6. 「パブリック」サブネットの横にあるチェック・ボックスを選択します。
  7. 「サブネットの追加」ボタンをクリックします。
  8. 「次へ」ボタンをクリックします。
VCNリソースへの接続が構成されます。

Load Balancerの作成およびデプロイ

OCVSインフラストラクチャの前に存在するOCIロード・バランサを作成します。

  1. OCIコンソールで、メニュー、「ネットワーキング」の順にクリックします。
  2. 「ロード・バランサ」で、「ロード・バランサ」をクリックします。
  3. 「ロード・バランサの作成」ボタンをクリックします。
  4. 「Ocvsの仮想クラウド・ネットワーク」で、「OCVS-INTEL-VCN」を選択します。
  5. 「Ocvsのサブネット」で、「パブリック(リージョナル)」を選択します。
  6. 「次」ボタンをクリックして、もう一度「次」をクリックします。

    ノート:

    バックエンドは後で追加されます。
  7. 「Ocvsの証明書」で、「ocvssecurity」を選択します。
  8. 「次へ」ボタンをクリックします。
  9. 「ログ・グループ」で、示されているログ・グループまたはすでに作成されているログ・グループを選択します。

    ノート:

    ログ・ファイルを格納するには、ログ・グループが必要です。
  10. 送信ボタンをクリックします。
  11. 「スマート・チェックに移動」ボタンをクリックします。

    ノート:

    以前にバックエンドの追加をスキップしたため、スマート・チェック警告が表示されます。
  12. 左下隅の「リソース」で、「バックエンド・セット」リンクをクリックします。
  13. 「バックエンド・セット」で、バックエンドのリンク(bs_lb_2023-1003-1521など)をクリックします。

    ノート:

    ロード・バランサを作成し、その「状態」「アクティブ」に設定する必要があります。
  14. 「リソース」で、「バックエンド・セット」リンクをクリックします。
  15. 「バックエンド・セット」で、バックエンドのリンク(bs_lb_2023-1003-1521など)をクリックします。
  16. 「リソース」で、「バックエンド」リンクをクリックします。
  17. 「バックエンドの追加」ボタンをクリックします。
  18. 「IPアドレス」ラジオ・ボタンをクリックします。
  19. 「IP address」フィールドで、Ubuntu WebサーバーのIPアドレスを入力します。
  20. 「追加バックエンド」ボタンをクリックし、追加する各バックエンドのIPアドレスを入力します。
  21. 「追加」ボタンをクリックします。
  22. 「閉じる」ボタンをクリックします。
バックエンド・サーバーはOCVSにデプロイされます。

構成を確認してください

サポートするインフラストラクチャを確認します。

  1. OCIコンソールで、メニュー、「ネットワーキング」の順にクリックします。
  2. 「ロード・バランサ」で、「ロード・バランサ」をクリックします。
  3. 「IPアドレス」で、ロード・バランサのパブリックIPアドレスをコピーします。
  4. 新しいブラウザ・タブを開き、URL https://に続いてコピーされたIPアドレスに移動します。
インストールされているWebサーバーの開始画面が表示されます。問題が発生した場合は、次のことを試してください。
  • インターネット・ゲートウェイが機能していることを確認します。
  • ルーティング テーブルがインターネットにアクセスできることを確認します。
  • セキュリティ・ルールおよびネットワーク・グループに対してプロトコルが許可されていることを確認します。