在 OCI 中設定 2 個 Thales CipherTrust 雲端金鑰管理程式設備、在它們之間建立叢集,以及將 One 設定為憑證授權機構
簡介
在現今的雲端優先環境中,組織越來越多地尋求對加密金鑰的控制,以滿足安全性、合規性和資料主權要求。Thales CipherTrust Cloud Key Manager (CCKM) 提供集中式解決方案,可管理跨多雲端和混合環境 (包括 Oracle Cloud Infrastructure (OCI) 的加密金鑰與加密密碼。此架構的主要功能支援保留您自己的金鑰 (HYOK) ,即使使用第三方雲端服務,也能讓您完全掌控加密金鑰。
本教學課程將引導您完成 OCI 中兩個 Thales CCKM 設備的完整設定,包括:
- 正在部署兩個 CCKM 執行處理。
- 在它們之間建立高可用性叢集。
- 將其中一個設備設定為憑證授權機構 (CA),以發出及管理內部憑證。
在本教學課程結束之前,您將有一個強大且可擴展的 CCKM 環境,支援自備金鑰 (BYOK) 、 HYOK 和集中式金鑰生命週期管理等主要使用案例。此設定適用於想要將關鍵控制延伸至雲端的企業,同時遵守最高的資料安全性標準。
注意:在本教學課程中,Thales CipherTrust Cloud Key Manager (CCKM) 和 Thales CipherTrust Manager 等術語會交替使用。兩者皆指的是相同產品。
目標
- 任務 1:複查 OCI 虛擬雲端網路 (VCN) 基礎架構。
- 工作 2:部署第一個 Thales CCKM 設備。
- 工作 3:在第一個 Thales CCKM 設備上執行初始組態。
- 工作 4:部署第二個 Thales CCKM 設備並在 CCKM 上執行初始組態。
- 工作 5:複查 Thales CCKM 設備遠端對等互連連線 (RPC) 之間的連線。
- 任務 6:設定 DNS。
- 工作 7:將第一個 Thales CCKM 設備設定為憑證授權機構 (CA)。
- 工作 8:為 Thales CCKM 設備建立 cloud service 提供者 (CSR),然後由 CA 簽署。
- 工作 9:設定 Thales CCKM 設備叢集。
工作 1:複查 OCI 虛擬雲端網路 (VCN) 基礎架構
在部署 Thales CCKM 設備之前,必須先瞭解將支援這些設備的基礎 OCI 網路架構。
在此設定中,我們正在使用兩個不同的 VCN:
- 阿姆斯特丹 (AMS) OCI 區域有一個 VCN。
- 第二個 VCN 位於 Ashburn (ASH) OCI 區域。
這兩個區域透過 RPC 連線,可在跨區域的 CCKM 設備之間進行安全且低延遲的通訊。此跨區域連線對於 CCKM 的高可用性、備援及叢集至關重要。
CCKM 設備將部署在每個 VCN 中的公用子網路中,以進行此教學課程。這個方法可以簡化透過網際網路的初始存取和管理,例如透過 SSH 或 Web 介面。不過,請務必注意,實際執行環境中的最佳做法是將這些設備建置在專用子網路中,並透過堡壘主機或 Stepstone (jump) 伺服器管理存取。這可以降低設備對公用網際網路的暴露程度,並且讓網路變得更安全。
我們將在下一項任務中部署此已複查 VCN 設定內的 CCKM。
工作 2:部署第一個 Thales CCKM 設備
在部署第一個 Thales CCKM 設備之前,我們必須確定 OCI 中有必要的映像檔。
雖然官方 Thales 文件通常建議開啟支援案例,以取得將 CCKM 映像檔直接匯入 OCI 的 OCI Object Storage URL,但我們將使用另一種方法。
我們收到來自 Thales 的本機 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova 檔案。我們不會使用提供的 URL,而是:
- 擷取
.ova歸檔中的.vmdk檔案。 - 上傳
.vmdk檔案至 OCI Object Storage 貯體。 - 從
.vmdk檔案建立 OCI 中的自訂映像檔。 - 使用此自訂映像檔部署 CCKM 執行處理。
此方法可讓我們完全控制影像匯入程序,特別適用於空隙或自訂部署案例。
-
將
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova檔案儲存在本機磁碟的新資料夾中。
-
擷取
.ova檔案。
-
請注意擷取之資料夾中的
.vmdk檔案。
透過 OCI 網路基礎架構,我們已準備好在阿姆斯特丹 (AMS) 區域中部署首個 Thales CCKM 設備。登入 OCI 主控台。
-
瀏覽至儲存體 (Storage) 的物件儲存體 (Object Storage) ,然後按一下儲存設定 (Buckets) 。
-
確定您位於正確的區間,然後按一下建立儲存桶。
-
輸入下列資訊,然後按一下建立以完成輸入。
- 分組名稱:輸入
CCKM_Bucket。 - 儲存層:選取標準 (預設) 。
- 預設保留所有其他設定值 (除非使用案例需要加密或存取原則)。
- 分組名稱:輸入
-
按一下新建立的 OCI 物件儲存的儲存桶。
-
向下捲動。
-
按一下上傳。
-
請輸入下列資訊。
- 在物件名稱首碼中,輸入
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA。 - 預設保留所有其他設定 。
- 從您的本機機器選取您的
.vmdk檔案 (例如k170v-2.19.0+14195-disk1.vmdk),然後按一下上傳,然後等待程序完成。
- 在物件名稱首碼中,輸入
-
上傳完成後,按一下關閉。
-
請注意,已上傳
.vmdk檔案。
將 .vmdk 檔案上傳至 OCI 物件儲存的儲存桶之後,請依照下列步驟將其匯入為自訂映像檔。
-
前往 OCI 主控台,瀏覽至運算並按一下自訂映像檔。
-
按一下匯入影像。
-
輸入下列項目,然後按一下匯入影像。
- 名稱:輸入
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA。 - 作業系統版本:比對 CCKM 映像檔內的作業系統 (檢查 Thales 文件—通常是 Debian 或 Ubuntu 版本)。
- 選取從 OCI 物件儲存的儲存桶匯入。
- 儲存桶:選取儲存桶。
- 物件:選取我們在上一個區段 (
.vmdk檔案) 中上傳的物件。 - 影像類型:選取 VMDK 。
- 名稱:輸入
-
向下捲動。
-
匯入狀態正在進行中,匯入時已完成百分比。
-
影像匯入完成後,影像將可供使用。
-
前往 OCI 主控台,瀏覽至運算,然後按一下執行處理。
-
按一下建立執行處理。
-
請輸入下列資訊。
-
名稱:輸入執行處理名稱。例如,
CCKM-1。 -
選取所選區域中任何可用的 AD (例如,阿姆斯特丹中的
AD-1)。
-
-
按一下影像與形狀區段底下的變更影像,然後選取自訂影像。
-
輸入以下資訊,然後按一下選取影像。
-
選取我的影像。
-
選取自訂影像。
-
自訂影像名稱:選取匯入的影像。例如,
610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA。
-
-
選取資源配置 (
VM.Standard.E5.Flex),然後設定 OCPU 和記憶體。注意:請檢查 Thales 對於 CCKM 的最低規格需求 (通常至少有 2 個 OCPU / 8 GB RAM)。
-
選取您現有的 VCN 和子網路。若要直接存取 SSH/Web,請使用公用子網路 (若遵循最佳做法,請使用堡壘主機的專用子網路)。
-
選取自動指派專用 IPv4 位址和自動指派公用 IPv4 位址。
-
在新增 SSH 金鑰中,選取上傳公開金鑰檔案,然後上傳
.pub檔案。此金鑰將用來透過 SSH 存取 VM。按一下建立。
執行處理目前為 PROVISIONING 狀態。
-
當 PROVISIONING 已順利完成,執行處理狀態將會變更為 RUNNING 。請注意,我們稍後需要設定和管理所需的公用和專用 IP 位址。
-
若要測試 SSH,請使用 Royal TSX 應用程式,然後設定 SSH 階段作業。
-
在 Royal TSX 階段作業的證明資料頁籤中,指定使用者名稱。例如,
ksadmin。
-
請務必同時選取對應的私密金鑰檔案。
-
使用 SSH 登入新部署的 CCKM。
-
我們會使用 Web GUI 來設定 CCKM。
-
如果您使用 Web 瀏覽器進行內部連線,請瀏覽至公用 IP 位址或專用 IP。
-
任何 CA 都無法驗證自行簽署的憑證,因此請按一下進階。
-
仍然繼續連線。
-
您可能會看到下列錯誤,這表示並非執行處理上的所有服務都已啟動。等待所有服務啟動;這最多可能需要 5 分鐘的時間。
-
當所有服務都啟動時,您會收到一則訊息,指出所有服務都正常。
-
以
admin和 Password 身分以admin身分登入使用者名稱。第一次登入之後,系統會提示您變更密碼。
-
請依照指示變更密碼。
-
使用您的新密碼登入。
-
請注意,您已登入,且已順利部署 CCKM。
下圖說明截至目前為止部署的目前狀態。
工作 3:在第一個 Thales CCKM 設備執行初始組態
現在已經部署並存取第一個 CCKM 設備,即可執行初始組態。這包括使用 NTP 伺服器設定系統時鐘,以及啟用評估授權或 Thales 提供的實際授權。
這些步驟可確保設備在執行憑證管理、記錄與同步方面相當重要的時間,並能在評估或設定階段充分發揮其功能。
-
導覽至管理設定值 NTP ,然後選取新增 NTP 伺服器。
-
輸入可靠的 NTP 伺服器的主機名稱或 IP 位址 (例如,
169.254.169.254(Oracle 的公用 NTP 伺服器 IP) 或您組織的內部 NTP 來源),然後按一下新增 NTP 伺服器。
-
請注意 NTP 伺服器已成功新增的訊息。按一下關閉。
-
驗證時間是否正確同步。
-
前往管理設定值、授權,然後按一下開始 CipherTrust 平台評估。
-
向下捲動。
-
按一下開始 CipherTrust 平台評估。
-
這將需要幾分鐘的時間才能啟用授權。
-
複查啟用的授權。
工作 4:部署第二個 Thales CCKM 設備並執行初始組態
請依照作業 2 和作業 3 中提供的步驟,在 ASH 區域中部署第二個 CCKM。
-
請確定已部署第二個 CCKM 並執行中。
-
測試 SSH 與第二個 CCKM 之間的連線。
-
測試 Web 與第二個 CCKM 之間的連線。
下圖說明截至目前為止部署的目前狀態。
工作 5:複查 Thales CCKM 設備 RPC 之間的連線
為了準備兩個 Thales CCKM 設備之間的高可用性和叢集,確保在部署這些設備的區域之間進行適當的連線至關重要。
在我們的設定中,已建立 Amsterdam (AMS) 和 Ashburn (ASH) OCI 區域之間的 RPC。此 RPC 可在每個 CCKM 設備所在的兩個 VCN 之間實現安全、低延遲的通訊。
已設定的項目:
- 遠端對等互連連線 (RPC) 是在 AMS 和 ASH 之間建立且為作用中。
- 路由表已適當設定,以確保兩個 VCN 之間的流量能夠正確轉送。
- 兩個區域中的安全清單目前都設定為允許所有傳入和傳出流量。這麼做是為了簡化概念驗證 (PoC) 測試,並排除初始設定與叢集處理期間的連線相關問題。
注意:
- 在生產環境中,強烈建議將流量限制為僅必要的連接埠,以進行叢集和管理。
- 請參閱 Thales 文件,瞭解確切的連接埠需求 (例如
443、8443、5432等 TCP 連接埠,以及其他 CCKM 叢集協定所使用的連接埠)。
此跨區域網路設定可確保 CCKM 在叢集建立過程中能夠以無縫接軌的方式進行通訊,我們將在下列其中一個區段處理。
任務 6:設定 DNS
需要正確的 DNS 解析,才能在兩個設備之間實現無縫通訊。這對於安全叢集、憑證處理以及整體服務穩定性特別重要。
備註:從此刻起,我們將 Thales CCKM 設備稱為 Thales CipherTrust Manager ,簡稱 CyberTrust Manager 。
使用自訂內部 DNS 伺服器時,我們正在使用此部署中的 OCI DNS 服務與專用 DNS 區域。這讓我們能夠為 Thales CipherTrust Manager 指定有意義的「完整網域名稱 (FQDN)」,並確保他們能夠跨區域進行通訊,而無需仰賴靜態 IP。
- 專用 DNS 區域名稱:輸入
oci-thales.lab。 - 範圍:選取專用。
- 關聯的 VCN:AMS 和 ASH VCN (允許跨區域名稱解析)。
我們已在 oci-thales.lab 區域內建立兩筆 A 記錄,指向每個 Thales CipherTrust Manager 設備的專用 IP:
| 主機名稱 | FQDN | 指向 |
|---|---|---|
ctm1 |
ctm1.oci-thales.lab |
AMS 中 Thales CipherTrust Manager 的專用 IP |
ctm2 |
ctm2.oci-thales.lab |
ASH 中 Thales CipherTrust 管理程式的專用 IP |
使用 FQDN 可以更輕鬆地管理憑證和叢集組態,並避免將組態與固定 IP 結合。
-
前往 OCI 主控台並瀏覽虛擬雲端網路。請確定您位於 AMS 區域。
-
按一下 VCN。
-
按一下 DNS 解析器 (針對該 VCN)。
-
按一下預設專用檢視 (針對該 DNS 解析器和 VCN)。
-
按一下建立區域。
-
輸入以下資訊,然後按一下建立。
- 區域名稱:輸入
oci-thales.lab。 - 區間:選取正確的區間。
- 區域名稱:輸入
-
按一下區域。
-
按一下管理記錄。
-
按一下新增記錄。
-
若要建立
ctm1的記錄,請輸入下列資訊。- 記錄類型:輸入 A - IPv4 地址。
- 名稱:輸入
ctm1。 - TTL:保留預設值 (例如,
300)。
-
以 RDATA (IP 位址) 身分輸入 Thales CipherTrust Manager 的專用 IP ,然後按一下儲存變更。
-
建立
ctm2的第二個 A 記錄。- 記錄類型:輸入 A - IPv4 地址。
- 名稱:輸入
ctm2。 - TTL:保留預設值 (例如,
300)。
-
以 RDATA (IP 位址) 身分輸入 Thales CipherTrust Manager 的私有 IP ,然後按一下儲存變更。
-
按一下發佈變更。
-
現在以 ASH 重複與 AMS 相同的步驟,讓 ASH 可以進行 DNS 名稱解析。
若要驗證 DNS 是否如預期般運作,SSH 會進入其中一個 Thales CipherTrust Manager 執行處理,然後從第一個 Thales CipherTrust Manager (在 AMS 中執行) 執行 ping ctm2.oci-thales.lab。
FQDN 將會解析為正確的 IP 位址,當 RPC、路由以及安全清單正確設定時,ping 便成功。
從 CTM2 (在 ASH 中執行) 重複 ping 以確認雙向解析。
工作 7:將第一個 Thales CCKM 設備設定為憑證授權機構 (CA)
第一次啟動 CipherTrust Manager 時,會自動產生新的本機 CipherTrust Manager Root CA。此 CA 用於為系統中可用的介面發出初始伺服器憑證。因此,您不需要建立新的。
注意:請確定您位於 AMS Thales CipherTrust Manager。
-
按一下 CA 並選取本機。
-
請複查本機自動產生的 CA (CipherTrust 管理程式根 CA),以建立並簽署 CSR。
下圖說明截至目前為止部署的目前狀態。
工作 8:為 Thales CCKM 設備建立 CSR 並由 CA 簽署
同時部署 CyberTrust 管理程式設備和設定 DNS 時,現在就可以啟用安全、憑證式的通訊。由於 AMS Thales CipherTrust Manager 和 ASH 設定為 CA,因此我們將使用 AMS Thales CipherTrust Manager 產生並簽署兩個設備的憑證。
-
高階步驟將會是:
-
在 AMS Thales CipherTrust Manager 產生 Thales CipherTrust Manager (AMS 和 ASH) 的憑證簽署要求 (CSR) 。
-
使用 AMS Thales CipherTrust Manager CA 來簽署這兩個 CSR。
-
在每個 Thales CipherTrust Manager 上安裝已簽署的憑證。
-
這樣可確保所有 Thales CipherTrust Manager-to-Thales CipherTrust Manager 通訊受到信任和加密,這是叢集形成和安全 API 存取的重要要求。
注意:請只在 AMS Thales CipherTrust Manager 上執行這些步驟。
-
登入 Thales CipherTrust Manager AMS 主控台。
-
導覽 CA ,然後按一下 CSR 產生器。
-
輸入下列資訊,然後按一下產生 CSR 並下載私密金鑰。
- 選取一般 CSR 。
- 一般名稱:輸入 Thales CipherTrust Manager 的 FQDN。例如,
ctm1.oci-thales.lab。 - 顯示名稱:輸入名稱。例如
CTM1 (AMS)。 - 演算法:選取 ECDSA 。
- 大小:選取 256 。
- 主旨替代名稱:也在此處包括 FQDN。例如
ctm1.oci-thales.lab。
注意:將會自動下載私密金鑰。
-
按一下下載 CSR ,即可下載並儲存產生的
.csr檔案。
-
重複相同的步驟 (仍在 Thales CipherTrust Manager AMS CA 上)。
-
輸入下列資訊,然後按一下產生 CSR 並下載私密金鑰。
- 選取一般 CSR 。
- 一般名稱:輸入 Thales CipherTrust Manager 的 FQDN。例如,
ctm1.oci-thales.lab。 - 顯示名稱:輸入名稱。例如
CTM2 (AMS)。 - 演算法:選取 ECDSA 。
- 大小:選取 256 。
- 主旨替代名稱:也在此處包括 FQDN。例如
ctm2.oci-thales.lab。
注意:將會自動下載私密金鑰。
-
按一下下載 CSR ,即可下載並儲存產生的
.csr檔案。
若要追蹤產生的憑證簽署要求 (CSR) 和私密金鑰,請在本機機器或安全管理伺服器上建立乾淨的資料夾結構是一個很好的做法。以下是一個簡單的範例結構:
-
導覽至 CA 、本機,然後選取 CA。
-
按一下上傳 CSR 。
-
使用 Thales CipherTrust Manager 的 FQDN (例如
ctm1.oci-thales.lab) 作為顯示名稱,並在 CSR 欄位中複製所產生 CSR 的內容。
-
選取伺服器作為憑證用途,然後按一下發出憑證。
-
按一下已簽署憑證項目結尾的三個點,然後按一下下載,即可下載 CTM1 的已簽署憑證。
-
重複相同的步驟 (仍在 Thales CipherTrust Manager AMS CA 上)。
-
使用 Thales CipherTrust Manager 的 FQDN (例如
ctm2.oci-thales.lab) 作為顯示名稱,並在 CSR 欄位中複製所產生 CSR 的內容。
-
選取伺服器作為憑證用途,然後按一下發出憑證。
-
按一下已簽署憑證項目結尾的三個點,然後按一下下載,即可下載 CTM2 的已簽署憑證。
-
將已簽署的憑證重新命名並將其儲存在建立的資料夾結構中。
除了簽署個別的 Thales CipherTrust Manager 憑證之外, CA 根憑證也是信任鏈的重要部分。此根憑證可建立您 Thales CipherTrust Manager 發出之所有憑證 (作為 CA) 的信任基礎。
-
導覽至 CA ( 本機 ),按一下 Thales CipherTrust Manager AMS CA 結尾的三個點,然後按一下下載以下載 Thales CipherTrust Manager AMS CA 的根 CA 憑證。
-
將下載的根憑證儲存在建立的資料夾結構中 。
-
下一步是建立完整憑證鏈結檔案,將已簽署的憑證、CA 根憑證和私密金鑰組合成單一檔案。
應用程式或設備 (例如 Thales CipherTrust Manager) 需要此功能,才能進行無縫的 TLS 組態設定。
-----BEGIN CERTIFICATE----- Signed CTM1 Cert by CA -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root CA Cert -----END CERTIFICATE----- -----BEGIN EC PRIVATE KEY----- Private Key -----END EC PRIVATE KEY----- -
對 Thales CipherTrust Manager 執行此動作,並將新串連的憑證檔案儲存在建立的資料夾結構中。
-
在 CA 上建立簽署的憑證並準備完整的憑證鏈檔案之後,下一步就是將它們上傳至每個 Thales CipherTrust Manager 設備。
讓我們從 AMS 中執行的第一個 CTM1 開始。
-
導覽至管理設定值的介面,按一下 Web 介面的三個點,然後選取更新憑證選項。
-
選取上傳 / 產生,然後按一下確定。
-
使用 PEM 格式上傳 CTM1 的完整鏈結憑證,然後按一下上傳憑證。
-
同樣地,按一下 Web 介面的三個點,然後選取更新憑證選項。
-
選取套用,然後按一下確定。
-
按一下套用。
-
按一下服務頁面。
-
按一下系統重新啟動。
-
按一下重新啟動服務,即可重新啟動伺服器和 Web 服務,以啟動新的憑證。
-
對在 ASH 中執行的 CTM2 重複相同的步驟。
-
若要使用 Google Chrome 在本機環境中測試新簽署的憑證,您必須先將憑證及其 CA 鏈安裝到您作業系統的受信任憑證儲存庫中。
本教學課程超出本教學課程的範圍,但我們將向您展示我們如何測試由 Thales CipherTrust Manager AMS CA 簽署的新 Thales CipherTrust Manager 憑證。
-
開啟 Google Chrome 瀏覽器設定值,瀏覽至隱私權與安全性並按一下安全性。
-
按一下管理憑證。
-
按一下本機憑證,然後在自訂段落中按一下由您安裝。
-
我們已經匯入本機作業系統的完整鏈結憑證和根憑證。
這也是您可以匯入憑證的位置;此匯入按鈕會帶您前往作業系統層次的憑證設定值。
-
由於我們尚未在網際網路上設定 DNS 伺服器,因此我們正在使用手動主機項目更新本機
/etc/hosts檔案,以使用 FQDN 從本機機器測試憑證。
-
使用 Google Chrome 瀏覽至 CTM1 FQDN,然後按一下安全性設定。
-
按一下連線是安全的。
-
按一下憑證有效。
-
複查核發對象明細。
工作 9:設定 Thales CCKM 設備叢集
Clustering Thales CipherTrust Cloud Key Manager (CCKM) 設備為加密金鑰管理提供高可用性和負載平衡。這可確保您安全基礎架構中的持續服務和容錯能力。
叢集完全從單一 (主要) Thales CipherTrust Manager 設備的管理主控台設定 (在此範例中為在 AMS 中執行的 Thales CipherTrust Manager)。使用此設備的介面可建立叢集,並將其他 Thales CipherTrust Manager 設備新增為叢集節點。
-
瀏覽至管理設定值、叢集,然後按一下管理叢集。
-
按一下新增叢集,
-
按下一步。
-
輸入 AMS Thales CipherTrust Manager 的主機名稱 (使用專用 IP 10.222.10.111 的 AMS 中的 CTM1)。
我們不打算使用公共 IP 透過網際網路使用 (或建立) 叢集,因此我們在兩個欄位中都使用私有 IP 位址。
-
按一下新增叢集。
-
請注意,此機器已建立新叢集,而且是其叢集的一部分。
-
在相同的 AMS CTM1 中,按一下管理叢集,然後選取新增節點以新增 ASH CTM2。
-
指定 ASH Thales CipherTrust Manager IP 位址作為要新增至叢集的節點。我們可以在這裡使用 DNS 名稱。
-
按一下新增節點。
-
ASH CMT2 將開啟新的瀏覽器視窗 / 頁籤。如果您未登入 ASH CMT2,可能會先收到登入提示。
-
部分叢集組態活動將在背景進行。
-
按一下加入以確認加入。
-
一些其他叢集組態活動將在背景進行。
-
按一下完成!以確認成功訊息。
-
如果新開啟的瀏覽器視窗 / 頁籤仍然開啟,您可以手動將其關閉。
-
在 AMS CTM1 中,按一下已完成進行確認。
-
首先,新增的節點 (ASH CTM2) 會向下顯示。等待數分鐘,讓叢集能夠偵測其存在狀態。
-
您可能也會看到畫面頂端的錯誤訊息。這表示叢集仍處於組態模式。請稍候幾分鐘讓訊息消失。
若要驗證 Thales CipherTrust Manager 叢集組態是否正確完成且運作正常,您可以檢查 CTM1 和 CTM2。
-
在 CTM1 中,導覽至管理設定值,然後按一下叢集。
- 請注意,IP 位址
10.222.10.111來自此伺服器 (AMS CTM1)。 - 請注意遠端伺服器 (ASH CTM2) 的其他節點 (
10.111.10.32)。
- 請注意,IP 位址
-
在 CTM2 中,導覽至管理設定值,然後按一下叢集。
-
請注意,IP 位址
10.111.10.32來自此伺服器 (ASH CTM2)。 -
請注意遠端伺服器 (AMS CTM1) 的其他節點 (
10.222.10.111)。
-
下圖說明截至目前為止部署的目前狀態。
接下來的步驟
在本教學課程中,您成功在 OCI 內設定兩個 Thales CCKM 設備,並在它們之間建立安全叢集,並將一個設備設定為 CA。從部署設備和設定網路基礎架構,到建立和簽署 CSR 和啟用叢集,您都建立了高可用性、安全的金鑰管理環境。此設定可確保透過集中式憑證管理進行強大的加密作業,並最佳化 OCI 環境中的安全性和作業彈性。
如果您想要在沒有 OCI API 閘道選項的情況下使用 Thales CipherTrust Manager 實行保留自己的金鑰 (HYOK) ,請依照本教學課程進行:在沒有 OCI API 閘道的情況下使用 Thales CipherTrust Manager 設定 OCI 保留自己的金鑰。
若要使用具備 OCI API 閘道選項的 Thales CipherTrust Manager 實行保留自己的金鑰 (HYOK) ,請依照本教學課程進行:使用具備 OCI API 閘道的 Thales CipherTrust Manager 設定 OCI 保留您自己的金鑰。
相關連結
確認
- 作者 - Iwan Hoogendoorn (雲端網路黑帶)
其他學習資源
在 docs.oracle.com/learn 上探索其他實驗室,或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority
G38093-01
Copyright ©2025, Oracle and/or its affiliates.