Certificados SSL do Balanceador de Carga
No Private Cloud Appliance, você pode importar e gerenciar certificados SSL por meio do serviço Load Balancing. O serviço não gera certificados.
Um certificado SSL pode ser aquele emitido por um fornecedor, como VeriSign ou GoDaddy, ou um certificado autoassinado que você gera com uma ferramenta como OpenSSL ou Let's Encrypt.
Você pode usar um certificado SSL personalizado e autoassinado. No entanto, para ambientes de produção, a Oracle recomenda que você use um certificado SSL emitido por CA, o que reduz o risco de um ataque man-in-the-middle.
Se você configurar HTTPS ou SSL para um listener, um certificado de servidor SSL deverá ser associado ao balanceador de carga. Um certificado permite que o balanceador de carga encerre a conexão e decriptografe solicitações de entrada antes da sua passagem para os servidores de backend. Você pode aplicar as seguintes configurações de SSL ao seu balanceador de carga:
- Encerramento de SSL: O balanceador de carga trata do tráfego SSL de entrada e passa a solicitação não criptografada para um servidor de backend.
- SSL Ponto a Ponto: O balanceador de carga encerra a ligação SSL a um cliente de tráfego de entrada e, em seguida, inicia uma conexão SSL a um servidor de backend.
- Túnel SSL: Se você configurar o listener do balanceador de carga para tráfego TCP, as conexões SSL de entrada do balanceador de carga serão túneis para seus servidores de aplicativos.
O Balanceamento de Carga suporta o protocolo TLS 1.2 com uma definição padrão de forte força de cifragem.
Para usar SSL padrão com um balanceador de carga e seus recursos, forneça um certificado. Para usar o TLS mútuo (mTLS) com seu balanceador de carga, você deve adicionar um ou mais pacotes de autoridade de certificação (pacotes de AC) ao seu sistema. Um pacote de certificados inclui o certificado público, a chave privada correspondente e quaisquer certificados de Autoridade de Certificação (CA) associados. Recomendamos que você faça upload dos pacotes de certificados antes de criar os listeners ou conjuntos de backend aos quais deseja associá-los. Somente certificados X.509 no formato PEM são aceitos.
Os balanceadores de cargas geralmente usam certificados de domínio único. No entanto, os balanceadores de carga com listeners que incluem a configuração do roteiro de solicitação podem exigir um certificado SAN (também chamado certificado multidomínio) ou um certificado curinga. O serviço Load Balancing suporta cada um desses tipos de certificado.