Certificados SSL do Balanceador de Carga
No Compute Cloud@Customer, você pode importar e gerenciar certificados SSL por meio do serviço Load Balancing. O serviço não gera certificados.
Um certificado SSL pode ser emitido por um fornecedor, como VeriSign ou GoDaddy, ou um certificado autoassinado que você gera com uma ferramenta como OpenSSL ou Let's Encrypt.
Você pode usar um certificado SSL autoassinado personalizado. No entanto, para ambientes de produção, a Oracle recomenda que você use um certificado SSL emitido pela CA, o que reduz o risco de um ataque man-in-the-middle.
Se você configurar HTTPS ou SSL para um listener, um certificado de servidor SSL deverá ser associado ao balanceador de carga. Um certificado ativa o balanceador de carga para encerrar a conexão e decriptografar as solicitações recebidas antes de transmiti-las aos servidores de backend. Você pode aplicar as seguintes configurações SSL ao seu balanceador de carga:
- Encerramento de SSL: O balanceador de carga trata o tráfego SSL recebido e passa a solicitação não criptografada para um servidor de backend.
- SSL ponto a ponto: O balanceador de carga encerra a conexão SSL com um cliente de tráfego recebido e inicia uma conexão SSL com um servidor de backend.
- Túnel SSL: Se você configurar o listener do balanceador de carga para tráfego TCP, o balanceador de carga tunelizará as conexões SSL recebidas para seus servidores de aplicativos.
O Balanceamento de Carga suporta o protocolo TLS 1.2 com uma definição padrão de criptografia forte.
Para usar SSL padrão com um balanceador de carga e seus recursos, forneça um certificado. Para usar mTLS (TLS) mútuo com seu balanceador de carga, adicione um ou mais pacotes de autoridade de certificado (pacotes de CA) ao seu sistema. Um pacote de certificados inclui o certificado público, a chave privada correspondente e quaisquer certificados associados da Autoridade de Certificação (CA). Recomendamos que você faça upload dos pacotes de certificados antes de criar os listeners ou os conjuntos de backend aos quais deseja associá-los. Somente certificados X.509 no formato PEM são aceitos.
Os balanceadores de carga geralmente usam certificados de um domínio. No entanto, os balanceadores de carga com listeners que incluem a configuração de roteamento de solicitação podem exigir um certificado SAN (nome alternativo de assunto), também chamado de certificado de multidomínio, ou um certificado curinga. O serviço Load Balancing suporta cada um desses tipos de certificado.