1. 使用 OCI 证书保护托管在 Oracle Cloud VMware Solution 上的 Web 应用
  2. 配置

配置

了解在 VMware 环境前面的负载平衡器上使用 X509 证书所需的配置步骤。

执行以下活动。

  1. 创建证书。
  2. 使用 LBaaS 连接 SDDC 工作负载。
  3. 使用 OCI LBaaS 中的证书。

创建动态组

创建动态组以允许 OCI 证书(证书管理解决方案)访问 OCI Vault 中的密钥。

  1. 在 OCI 控制台中,依次单击菜单和身份和安全
  2. 身份中,单击
  3. 单击默认链接。
  4. 在左侧菜单中,单击动态组
  5. 单击创建动态组按钮。
  6. 名称字段中,输入 Dynamic-group-cert-authority
  7. 规则 1 字段中,输入 resource.type = 'certificateauthority'
  8. 单击创建按钮。
将创建 Dynamic-group-cert-authority 组。

创建策略

该策略允许动态组从 Vault 访问密钥,以便能够创建证书颁发机构。此外,它还可以允许一组用户管理 OCI 证书。

一个策略可以有多个语句。根据设计,可以将所有语句放在一个或多个策略中。策略包含两部分:授权证书服务访问密钥和创建证书,以及授权用户管理 OCI 证书。
  1. 在 OCI 控制台中,依次单击菜单和身份和安全
  2. 身份中,单击策略
  3. 单击创建策略按钮。
  4. 名称字段中,输入 Cert-Auth-Ocvs
  5. 说明字段中,输入 OCVS
  6. 单击显示手动编辑器切换。
  7. 策略生成器字段中,输入: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. 单击创建
    创建 Cert-Auth-Ocvs 策略。

创建 Vault

定义策略后,可以创建专用证书颁发机构,该机构将使用存储在 OCI Vault 中的密钥。

如果您已经有 Vault,则可以跳过这些步骤并继续执行下一部分。
  1. 在 OCI 控制台中,依次单击菜单和身份和安全
  2. 密钥管理和密钥管理下,单击 Vault
  3. 单击创建 Vault 按钮。
  4. “在区间中创建”字段中,确保选择“Ocvs”
  5. 名称字段中,输入 WebCert
  6. 单击创建 Vault 按钮。
    将创建 WebCert 保管库。

创建主密钥和加密密钥

主密钥是证书颁发机构的私钥。OCI 证书仅支持存储在 HSM 中的密钥,不支持存储在 OCI Vault 的软件部分中的密钥。

必须创建 WebCert 保管库,并且其状态必须处于活动状态,然后才能执行以下步骤。
  1. 在 OCI 控制台中,依次单击菜单和密钥管理和密钥管理

    注意:

    如果您关注上一个任务,则应该已经看到 Vault 屏幕。
  2. 单击 WebCert 链接。
  3. 单击 Create Key 按钮。
  4. 保护模式下,确保选择 HSM
  5. 名称字段中,输入 OCVS
  6. 密钥配置:算法下,选择 RSA
  7. 单击 Create Key 按钮。
将创建主密钥和加密密钥。

创建证书颁发机构

创建 Vault 并存储密钥后,可以创建专用证书颁发机构。如果失败,策略可能不正确或者可以超出服务限制。

  1. 在 OCI 控制台中,依次单击菜单和身份和安全
  2. 证书下,单击证书颁发机构
  3. 单击创建证书颁发机构按钮。
  4. 名称字段中,输入 OCVS
  5. 单击下一步按钮。
  6. 公用名称字段中,输入 ocvs.local
  7. 依次单击下一步按钮、下一步下一步
  8. 撤消配置页上,启用跳过撤消
  9. 单击下一步按钮。
  10. 查看概要,然后单击创建证书颁发机构按钮。
  11. 单击关闭链接。
将创建 OCVS 证书颁发机构。

注意:

OCI 证书为组织提供证书颁发、存储和管理功能。请参阅“了解更多”以了解如何管理证书。

发布证书

发出将用于验证网络通信的身份并保护其安全的 SSL/TLS 证书。

  1. 在 OCI 控制台中,依次单击证书下的菜单和证书颁发机构

    注意:

    如果您正在关注上一个任务,则应该已经看到证书颁发机构屏幕。
  2. 单击 OCVS 链接。
  3. 单击颁发证书按钮。
  4. 名称字段中,输入 ocvssecurity
  5. 单击下一步按钮。
  6. 公用名称字段中,输入 ocvs.local
  7. 单击下一步按钮。
  8. 证书配置文件类型下,选择 TLS 服务器
  9. 之后无效下,单击日历按钮,然后选择日期。
  10. 依次单击下一步按钮和下一步
  11. 单击创建证书按钮。
已创建 OCVS 证书。

配置与 VCN 资源的连接

在部署了 Web 服务器的 NSX 段与将在下一步中部署负载平衡器的 OCI 公共子网之间启用通信。

  1. 在 OCI 控制台中,依次单击菜单和混合
  2. VMware 解决方案下,单击软件定义的数据中心
  3. 单击配置与 VCN 资源的连接按钮。
  4. SDDC 工作负载 CIDR 字段中,输入 Web 服务器的 NSX 段 IP 地址(例如 192.168.10.0/24)。
  5. 单击添加子网按钮。
  6. 单击公共子网旁边的复选框。
  7. 单击添加子网按钮。
  8. 单击下一步按钮。
已配置与 VCN 资源的连接。

创建和部署负载平衡器

创建位于 OCVS 基础结构前面的 OCI 负载平衡器。

  1. 在 OCI 控制台中,依次单击菜单和网络
  2. 负载平衡器下,单击负载平衡器
  3. 单击创建负载平衡器按钮。
  4. Ocv 中的虚拟云网络下,选择 OCVS-INTEL-VCN
  5. Ocvs 中的子网下,选择公共(区域)
  6. 依次单击下一步按钮和下一步

    注意:

    稍后将添加后端。
  7. Ocvs 中的证书下,选择 ocvssecurity
  8. 单击下一步按钮。
  9. 日志组下,选择指示的日志组或已创建的日志组。

    注意:

    需要一个日志组来存储日志文件。
  10. 单击提交按钮。
  11. 单击转至智能检查按钮。

    注意:

    此时将显示智能检查警告,因为我们之前已跳过添加后端。
  12. 在左下角的资源下,单击后端集链接。
  13. 后端集下,单击后端的链接(例如,bs_lb_2023-1003-1521 )。

    注意:

    必须创建负载平衡器并将其状态设置为活动
  14. 资源下,单击后端集链接。
  15. 后端集下,单击后端的链接(例如,bs_lb_2023-1003-1521 )。
  16. 资源下,单击后端链接。
  17. 单击添加后端按钮。
  18. 单击 IP 地址单选按钮。
  19. IP 地址字段中,输入 Ubuntu Web 服务器的 IP 地址。
  20. 单击附加后端按钮并输入要添加的每个后端的 IP 地址。
  21. 单击添加按钮。
  22. 单击关闭按钮。
后端服务器部署在 OCVS 上。

检查该配置

检查支持的基础结构。

  1. 在 OCI 控制台中,依次单击菜单和网络
  2. 负载平衡器下,单击负载平衡器
  3. IP 地址下,复制负载平衡器的公共 IP 地址。
  4. 打开新的浏览器选项卡,然后转到 URL https://,后跟复制的 IP 地址。
此时将显示已安装的 Web 服务器的欢迎页面。如果遇到问题,请尝试以下操作:
  • 检查 Internet 网关是否正常工作。
  • 检查路由表是否可以访问 Internet。
  • 检查其安全规则和网络组是否允许使用这些协议。