1. 使用 OCI Certificates 保護 Oracle Cloud VMware Solution 上代管的安全 Web 應用系統
  2. 設定

設定

瞭解在 VMware 環境前的負載平衡器上使用 X509 憑證的必要組態步驟。

執行下列活動。

  1. 建立憑證。
  2. 將 SDDC 工作負載與 LBaaS 連線。
  3. 使用 OCI LBaaS 中的憑證。

建立動態群組

建立的動態群組可讓 OCI Certificates (憑證管理解決方案) 存取 OCI Vault 中的金鑰。

  1. 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性
  2. 識別底下,按一下網域
  3. 按一下預設連結。
  4. 在左側功能表中,按一下動態群組
  5. 按一下建立動態群組按鈕。
  6. 名稱欄位中,輸入 Dynamic-group-cert-authority
  7. 規則 1 欄位中,輸入 resource.type = 'certificateauthority'
  8. 按一下建立按鈕。
Dynamic-group-cert-authority 群組會被建立。

建立原則

此原則可讓動態群組從保存庫存取金鑰,以建立憑證授權機構。您也可以視需要允許一組使用者管理 OCI Certificates。

原則可以有數個敘述句。根據設計,所有敘述句都可以放在一個或多個原則中。原則有兩個部分:授權憑證服務存取金鑰和建立憑證,以及讓使用者管理 OCI 憑證。
  1. 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性
  2. 識別底下,按一下原則
  3. 按一下「建立原則」按鈕。
  4. 名稱欄位中,輸入 Cert-Auth-Ocvs
  5. 描述欄位中,輸入 OCVS
  6. 按一下顯示手動編輯器切換。
  7. Policy Builder 欄位中,輸入: 
    Allow dynamic-group Dynamic-group-cert-authority to use keys in compartment Ocvs
Allow dynamic-group Dynamic-group-cert-authority to manage objects in compartment Ocvs
Allow group <groupName of certAdmins> to manage certificate-authority-family in compartment Ocvs
Allow group <groupName of certAdmins> to read keys in compartment Ocvs
Allow group <groupName of certAdmins> to use key-delegate in compartment Ocvs
Allow group <groupName of certAdmins> to read buckets in compartment Ocvs
Allow group <groupName of certAdmins> to read values in compartment Ocvs
  8. 按一下建立
    Cert-Auth-Ocvs 原則已建立。

建立保存庫

定義原則之後,便可以建立專用憑證授權機構,並使用儲存在 OCI 保存庫中的金鑰。

如果您已有 Vault,則可跳過這些步驟並繼續至下一節。
  1. 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性
  2. 金鑰管理和加密密碼管理底下,按一下保存庫
  3. 按一下建立保存庫按鈕。
  4. 在「在區間中建立」欄位中,確定已選取「 Ocv 」。
  5. 名稱欄位中,輸入 WebCert
  6. 按一下建立保存庫按鈕。
    WebCert 保存庫隨即建立。

建立主要金鑰與加密金鑰

會建立憑證授權機構的主要金鑰 (私密金鑰)。OCI Certificates 只支援儲存在 HSM 中的金鑰,而不支援 OCI Vault 的軟體區段。

必須先建立 WebCert 保存庫,且其狀態必須為作用中,才能遵循這些步驟。
  1. 在 OCI 主控台中,按一下功能表,然後按一下金鑰管理和加密密碼管理

    附註:

    如果您在前一個任務中繼續關注,您應該已經看到金鑰保存庫畫面。
  2. 按一下 WebCert 連結。
  3. 按一下「建立金鑰」按鈕。
  4. 保護模式下,確定已選取 HSM
  5. 名稱欄位中,輸入 OCVS
  6. 金鑰資源配置:演算法下,選取 RSA
  7. 按一下「建立金鑰」按鈕。
會建立主金鑰與加密金鑰。

建立憑證授權機構

建立保存庫並儲存金鑰之後,就可以建立專用憑證授權單位。如果失敗,原則可能不正確,或超出服務限制。

  1. 在 OCI 主控台中,按一下功能表,然後按一下識別與安全性
  2. 憑證底下,按一下憑證授權單位
  3. 按一下「建立憑證授權機構」按鈕。
  4. 名稱欄位中,輸入 OCVS
  5. 按一下下一步按鈕。
  6. 一般名稱欄位中,輸入 ocvs.local
  7. 依序按一下下一步按鈕、下一步下一步
  8. 撤銷組態頁面上,啟用略過撤銷
  9. 按一下下一步按鈕。
  10. 複查摘要,然後按一下建立憑證授權機構按鈕。
  11. 按一下關閉連結。
OCVS 憑證授權單位已建立。

附註:

OCI 憑證為組織提供憑證發行、儲存及管理功能。請參閱「深入瞭解」以瞭解如何管理您的憑證。

發行憑證

簽發 SSL/TLS 憑證,用於驗證網路通訊的識別並保護。

  1. 在 OCI 主控台中,按一下功能表,然後按一下憑證下的憑證授權單位

    附註:

    如果您在前一個工作繼續關注,您應該已經看到憑證授權單位畫面。
  2. 按一下 OCVS 連結。
  3. 按一下「核發憑證」按鈕。
  4. 名稱欄位中,輸入 ocvssecurity
  5. 按一下下一步按鈕。
  6. 一般名稱欄位中,輸入 ocvs.local
  7. 按一下下一步按鈕。
  8. 憑證設定檔類型下,選取 TLS 伺服器
  9. 之後無效下,按一下行事曆按鈕,然後選取日期。
  10. 下一步按鈕,然後再次下一步
  11. 按一下建立憑證按鈕。
OCVS 憑證已建立。

設定 VCN 資源連線

啟用部署 Web 伺服器的 NSX 區段與將在下一個步驟部署負載平衡器的 OCI 公用子網路之間的通訊。

  1. 在 OCI 主控台中,按一下功能表,然後按一下混合
  2. VMware 解決方案下,按一下軟體定義資料中心
  3. 按一下「設定 VCN 資源連線」按鈕。
  4. SDDC 工作負載 CIDR 欄位中,輸入 Web 伺服器的 NSX 區段 IP 位址 (例如 192.168.10.0/24)。
  5. 按一下新增子網路按鈕。
  6. 按一下公用子網路旁邊的核取方塊。
  7. 按一下新增子網路按鈕。
  8. 按一下下一步按鈕。
已設定 VCN 資源連線。

建立及部署負載平衡器

建立位於 OCVS 基礎架構前方的 OCI 負載平衡器。

  1. 在 OCI 主控台中,按一下功能表,然後按一下網路
  2. 負載平衡器底下,按一下負載平衡器
  3. 按一下建立負載平衡器按鈕。
  4. Ocvs 中的虛擬雲端網路下,選取 OCVS-INTEL-VCN
  5. Ocvs 中的子網路下,選取公用 (區域)
  6. 下一步按鈕,然後再次下一步

    附註:

    後端將於稍後新增。
  7. Ocvs 中的憑證下,選取 ocvssecurity
  8. 按一下下一步按鈕。
  9. 日誌群組底下,選取指示的日誌群組或已經建立的日誌群組。

    附註:

    儲存日誌檔需要日誌群組。
  10. 按一下送出按鈕。
  11. 按一下移至智慧型檢查按鈕。

    附註:

    系統先前略過新增後端,因此會顯示智慧型檢查警告。
  12. 在左下角的資源底下,按一下後端集連結。
  13. 後端集底下,按一下後端的連結 (例如 bs_lb_2023-1003-1521) .

    附註:

    必須建立負載平衡器並將其狀態設為作用中
  14. 資源底下,按一下後端集連結。
  15. 後端集底下,按一下後端的連結 (例如 bs_lb_2023-1003-1521) .
  16. 資源底下,按一下後端連結。
  17. 按一下新增後端按鈕。
  18. 按一下 IP 位址圓鈕。
  19. 在「 IP 位址」欄位中,輸入 Ubuntu Web 伺服器的 IP 位址。
  20. 按一下其他後端按鈕,然後輸入您新增之每個後端的 IP 位址。
  21. 按一下新增按鈕。
  22. 按一下關閉按鈕。
後端伺服器會部署在 OCVS 上。

檢查組態

檢查支援的基礎架構。

  1. 在 OCI 主控台中,按一下功能表,然後按一下網路
  2. 負載平衡器底下,按一下負載平衡器
  3. IP 位址下,複製負載平衡器的公用 IP 位址。
  4. 開啟新的瀏覽器頁籤,然後移至 URL https://,後面接著複製的 IP 位址。
便會顯示已安裝之 Web 伺服器的歡迎頁面。如果發生問題,請嘗試下列步驟:
  • 檢查網際網路閘道是否正常運作。
  • 檢查路由表是否可以存取網際網路。
  • 檢查協定是否允許用於安全規則和網路群組。