보안 TLS 인증서 배치 정보

이 솔루션은 Oracle Cloud Infrastructure Vault의 주요 변경 불가능성이 차단제인 환경에서 신뢰할 수 있는 TLS 인증서를 사용해야 하는 조직에 안전하고 유연하며 규정을 준수하는 접근 방식을 제공합니다. 여러 Oracle 및 비 Oracle 서비스 전반에서 OCI 네이티브 보안 모델과 실제 통합 요구 사항 간의 격차를 효과적으로 해소합니다.

웹 서버 또는 응용 프로그램 서버에서 보안 TLS 통신을 구현할 때는 다음 구성 요소에 대한 액세스 권한이 있어야 합니다.

  • TLS 인증서
  • 루트 및 중간(인증서 체인)
  • 해당 개인 키

Oracle Cloud Infrastructure(OCI)는 OCI 관리형 서비스 내에서 사용할 수 있는 인증서의 생성 및 수명 주기 관리를 지원하는 네이티브 인증서 관리 서비스를 제공합니다. 이 모델에서는 개인 키가 OCI Vault에 안전하게 저장되며 최종 사용자 또는 외부 시스템에서 액세스할 수 없습니다. 이는 보안을 강화하지만 외부 애플리케이션 서버 또는 하이브리드 환경에 배포하는 것과 같이 전체 인증서 및 키 제어가 필요한 시나리오의 유연성을 제한합니다. 인증서와 개인 키 모두에 직접 액세스해야 하는 시스템에 대해 OCI 인증서의 CA(인증 기관)를 사용하려고 시도할 때 문제가 발생합니다.

이는 다음과 같은 서비스와 통합할 때 특히 문제가 됩니다.

  • Oracle Analytics Cloud
  • Oracle Integration
  • OCI 컴퓨트에서 호스팅되는 웹 서버
  • 온프레미스 또는 에지 애플리케이션

이러한 플랫폼은 일반적으로 SSL/TLS 세션의 보안 통신 및 종료를 지원하기 위해 개인 키에 액세스하는 기능을 포함하여 TLS 인증서를 완전히 제어해야 합니다.

이 솔루션 플레이북에서는 하이브리드 환경에 OCI CA를 사용할 수 있도록 함으로써 이러한 제한을 해결하는 제품 간 솔루션을 소개합니다.

  • OCI 외부에서 로컬로 개인 키 및 인증서 서명 요청(CSR)을 생성합니다.
  • 그런 다음 OCI 인증서 CA가 CSR에 서명하여 OCI 에코시스템 내에서 신뢰를 유지합니다.
  • 서명된 인증서가 로컬에서 생성된 개인 키와 결합되어 OCI, 온프레미스 또는 다른 클라우드에서 필요한 모든 서비스에 배포됩니다.

다음 다이어그램은 이 플로우를 보여줍니다.


아래 implement-oci-ca-ext.png에 대한 설명입니다.
그림 implement-oci-ca-ext.png에 대한 설명

이 방법은 다음에 가장 적합합니다.

  • 비용 효율적인 자체 서명 인증서가 충분한 비운용 설정입니다.
  • 인증서 및 개인 키 제어가 모두 필요한 환경(예: 사용자정의 서버 또는 온프레미스 통합)입니다.
  • OCI 관리 인증서(개인 키 숨기기)가 외부 시스템과 호환되지 않는 시나리오입니다.

시작하기 전에

시작하기 전에 다음이 필요합니다.

  • OCI에 설정된 개인 키를 안전하게 저장하기 위한 OCI Vault.
  • OCI에서 설정되고 완전히 작동하는 OCI 인증서 CA(인증 기관)입니다.
  • 로컬 시스템의 OpenSSL 라이브러리에 액세스하여 개인 키를 생성할 수 있습니다.

필수 서비스 및 역할 정보

이 솔루션을 사용하려면 다음과 같은 서비스 및 역할이 필요합니다.

  • Oracle Cloud Infrastructure

이 역할은 서비스에 필요한 역할입니다.

서비스 이름: 역할 필수 항목...
Oracle Cloud Infrastructure: 관리자 컴파트먼트에서 컴파트먼트를 관리하고 인증서, 버킷, 볼트 및 키를 읽거나 관리합니다(아래 참조).

인증 기관 관리자에 대해 간단한 정책을 사용하거나, 관리자 및 동적 그룹 정책을 설정하여 역할과 책임을 분리하고 컴파트먼트별로 제한할 수 있습니다. 예:

### Simple Policy for Tenant Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in tenancy
Allow group CertificateAuthorityAdmins to manage leaf-certificate-family in tenancy
Allow group CertificateAuthorityAdmins to read vaults in tenancy
Allow group CertificateAuthorityAdmins to read keys in tenancy
Allow group CertificateAuthorityAdmins to use key-delegate in tenancy
```

또는

### Policy for a Dynamic Group
```
Allow dynamic-group DynamicGroup to use keys in compartment DEF
Allow dynamic-group DynamicGroup to manage objects in compartment XYZ
```
### Policy for Compartment Administrators
```
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF
```

필요한 정보를 얻으려면 Oracle 제품, 솔루션 및 서비스를 참조하십시오.