1. Proteja os aplicativos web hospedados na Oracle Cloud VMware Solution com o OCI Certificates
  2. Configurar

Configurar

Saiba mais sobre as etapas de configuração necessárias para usar certificados X509 em um balanceador de carga na frente do ambiente VMware.

Execute as atividades a seguir.

  1. Criar certificados.
  2. Conecte a carga de trabalho do SDDC com LBaaS.
  3. Use os certificados no OCI LBaaS.

Criar um Grupo Dinâmico

Um grupo dinâmico é criado para permitir que o OCI Certificates (a solução de gerenciamento de certificados) acesse chaves no OCI Vault.

  1. Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
  2. Em Identidade, clique em Domínios.
  3. Clique no link Padrão.
  4. No menu esquerdo, clique em Grupos dinâmicos.
  5. Clique no botão Criar grupo dinâmico.
  6. No campo Nome, digite Dynamic-group-cert-authority.
  7. No campo Regra 1, digite resource.type = 'certificateauthority'.
  8. Clique no botão Criar.
O grupo Dynamic-group-cert-authority é criado.

Criar uma Política

A política permite que o grupo dinâmico acesse chaves do vault para criar uma autoridade de certificação. Opcionalmente, também pode permitir que um grupo de usuários gerencie o OCI Certificates.

Uma política pode ter várias instruções. Com base no design, todas as instruções podem ser colocadas em uma ou em várias políticas. Uma política tem duas partes: permitir que o serviço de certificados acesse a chave e crie certificados e que um usuário gerencie o OCI Certificates.
  1. Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
  2. Em Identidade, clique em Políticas.
  3. Clique no botão Criar Política.
  4. No campo Nome, digite Cert-Auth-Ocvs.
  5. No campo Descrição, digite OCVS.
  6. Clique na opção Mostrar editor manual.
  7. No campo Criador de Política, informe: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. Clique em Criar.
    A política Cert-Auth-Ocvs é criada.

Criar um Vault

Depois que as políticas forem definidas, uma autoridade de certificação privada poderá ser criada, que usará a chave armazenada no OCI Vault.

Se você já tiver um vault, ignore estas etapas e continue para a próxima seção.
  1. Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
  2. Em Gerenciamento de Chaves e Gerenciamento de Segredos, clique em Vault.
  3. Clique no botão Criar Vault.
  4. No campo Criar no Compartimento, certifique-se de que a opção Ocvs esteja selecionada.
  5. No campo Nome, informe WebCert.
  6. Clique no botão Criar Vault.
    O vault WebCert é criado.

Criar uma Chave Principal e uma Chave de Criptografia

A chave mestra, a chave privada da autoridade de certificação, é criada. O OCI Certificates suporta apenas chaves armazenadas no HSM, e não na seção de software do OCI Vault.

O vault WebCert deve ter sido criado e seu Estado deve estar Ativo antes de seguir essas etapas.
  1. Na console do OCI, clique no menu e, em seguida, em Key Management & Secret Management.

    Observação:

    Se você estiver acompanhando a tarefa anterior, já deverá ver a tela Vault.
  2. Clique no link WebCert.
  3. Clique no botão Criar Chave.
  4. Em Modo de Proteção, certifique-se de que HSM esteja selecionado.
  5. No campo Nome, informe OCVS.
  6. Em Forma da Chave: Algoritmo, selecione RSA.
  7. Clique no botão Criar Chave.
A chave mestra e as chaves de criptografia são criadas.

Criar uma Autoridade de Certificação

Depois que o vault é criado e armazena a chave, a autoridade de certificação privada pode ser criada. Se isso falhar, as políticas podem não estar corretas ou os limites do serviço podem ser excedidos.

  1. Na console do OCI, clique no menu e, em seguida, em Identidade e Segurança.
  2. Em Certificates, clique em Autoridades de Certificação.
  3. Clique no botão Criar Autoridade de Certificação.
  4. No campo Nome, informe OCVS.
  5. Clique no botão Próximo.
  6. No campo Nome Comum, digite ocvs.local.
  7. Clique no botão Próximo, em Próximo e em Próximo novamente.
  8. Na página Configuração de Revogação, ative a opção Ignorar Revogação.
  9. Clique no botão Próximo.
  10. Verifique o resumo e clique no botão Criar Autoridade de Certificação.
  11. Clique no link Fechar.
A autoridade de certificação OCVS é criada.

Observação:

O OCI Certificates fornece às organizações recursos de emissão, armazenamento e gerenciamento de certificados. Veja Explorar Mais para saber como gerenciar seus certificados.

Emitir um Certificado

Emita um certificado SSL/TLS que será usado para verificar a identidade e proteger a comunicação de rede.

  1. Na console do OCI, clique no menu e, em seguida, em Autoridades de Certificação em Certificados.

    Observação:

    Se você estiver acompanhando a tarefa anterior, já deverá ver a tela Autoridades de Certificação.
  2. Clique no link OCVS.
  3. Clique no botão Certificado de Emissão.
  4. No campo Nome, informe ocvssecurity.
  5. Clique no botão Próximo.
  6. No campo Nome Comum, digite ocvs.local.
  7. Clique no botão Próximo.
  8. Em Tipo de Perfil de Certificado, selecione Servidor TLS.
  9. Em Não Válido Após, clique no botão de calendário e selecione uma data.
  10. Clique no botão Próximo e, em seguida, em Próximo novamente.
  11. Clique no botão Criar Certificado.
O certificado OCVS é criado.

Configurar Conectividade com Recursos da VCN

Ative a comunicação entre o segmento NSX no qual os servidores Web estão implantados e a sub-rede pública do OCI na qual o balanceador de carga será implantado na próxima etapa.

  1. Na console do OCI, clique no menu e, em seguida, em Híbrido.
  2. Em VMware Solution, clique em Data Centers Definidos por Software.
  3. Clique no botão Configurar conectividade com recursos de VCN.
  4. No campo CIDR da carga de trabalho SDDC, informe o endereço IP do segmento NSX do servidor Web (por exemplo, 192.168.10.0/24).
  5. Clique no botão Adicionar sub-redes.
  6. Clique na caixa de seleção ao lado da sub-rede Pública.
  7. Clique no botão Adicionar sub-redes.
  8. Clique no botão Próximo.
A conectividade com recursos da VCN é configurada.

Criar e Implantar um Balanceador de Carga

Crie um balanceador de carga do OCI que resida na frente da infraestrutura OCVS.

  1. Na console do OCI, clique no menu e, em seguida, em Networking.
  2. Em Balanceadores de carga, clique em Balanceador de carga.
  3. Clique no botão Criar balanceador de carga.
  4. Em Rede virtual na nuvem em Ocvs, selecione OCVS-INTEL-VCN.
  5. Em Sub-rede em Ocvs, selecione Público (regional).
  6. Clique no botão Próximo e, em seguida, em Próximo novamente.

    Observação:

    Backends serão adicionados posteriormente.
  7. Em Certificado em Ocorrências, selecione ocvssecurity.
  8. Clique no botão Próximo.
  9. Em Grupo de logs, selecione o grupo de logs indicado ou um que já tenha sido criado.

    Observação:

    Um grupo de logs é necessário para armazenar os arquivos de log.
  10. Clique no botão Submeter.
  11. Clique no botão Ir para verificação inteligente.

    Observação:

    A advertência de verificação inteligente aparece porque ignoramos a adição do backend anteriormente.
  12. No canto inferior esquerdo, em Recursos, clique no link Conjuntos de backend.
  13. Em Conjuntos de backend, clique no link do backend (por exemplo, bs_lb_2023-1003-1521).

    Observação:

    O balanceador de carga deve ser criado e seu Estado definido como Ativo.
  14. Em Recursos, clique no link Conjuntos de backend.
  15. Em Conjuntos de backend, clique no link do backend (por exemplo, bs_lb_2023-1003-1521).
  16. Em Recursos, clique no link Backends.
  17. Clique no botão Adicionar backends.
  18. Clique no botão de opção Endereços IP.
  19. No campo Endereço IP, informe o endereço IP dos servidores Web do Ubuntu.
  20. Clique no botão Backup adicional e digite o endereço IP de cada backend que você está adicionando.
  21. Clique no botão Adicionar.
  22. Clique no botão Fechar.
Os servidores de backend são implantados no OCVS.

Verifique a Configuração

Verifique a infraestrutura de suporte.

  1. Na console do OCI, clique no menu e, em seguida, em Networking.
  2. Em Balanceadores de carga, clique em Balanceador de carga.
  3. Em Endereço IP, copie o endereço IP público do balanceador de carga.
  4. Abra uma nova guia do browser e vá para o URL https:// seguido do endereço IP copiado.
A página de boas-vindas dos servidores Web instalados é exibida. Se tiver problemas, tente o seguinte:
  • Verifique se o gateway de internet está funcionando.
  • Verifique se as tabelas de roteamento podem acessar a Internet.
  • Verifique se os protocolos são permitidos para regras de segurança e grupos de rede.