Criar certificados

Criar certificados como parte da instalação do PEG.

Pré-requisitos

Você pode criar certificados usando uma de duas opções.
Em ambos os casos, você precisará do seguinte:
  • ID única (UID): Cada VM do PEG que você executar deve ter uma ID única. Você pode definir a UID como desejar, desde que cumpra os seguintes critérios:
    • Deve ter até 18 caracteres
    • Deve conter apenas letras de a a z, números de 0 a 9 e/ou hifens
    • Não deve começar nem terminar com um hífen
    • Não deve conter hifens consecutivos
    • Dica: Para criar facilmente uma UID, use os últimos 18 caracteres de uma GUID gerada a partir de um gerador de GUID on-line.
  • O domínio de topo que você deseja usar para os nomes DNS PEG (por exemplo, por exemplo.com)

Opção 2 - Crie suas próprias chaves e certificados

Saiba como criar chaves e certificados antes de implantar o PEG.

As chaves e certificados devem estar no formato PEM Base64 (chamado openssl ou PKCS #8 para o formato chave em alguns sistemas). Crie certificados de acordo com Tarefas comuns - Criação dos certificados. As chaves não devem ser protegidas por senha. Além disso, certifique-se de que suas chaves correspondem aos nomes dos arquivos na coluna Nome do arquivo chave de, Tarefas comuns - Criação dos certificados.

É importante verificar se o certificado colado no terminal corresponde exatamente ao certificado de origem. Alguns aplicativos podem anexar um caractere oculto ao arquivo durante a cópia e colagem. Para evitar problemas, as etapas a seguir oferecem assistência.

  • Verifique o conteúdo do arquivo: depois de colar o conteúdo no arquivo, use um editor de texto (como nano, vim ou gedit) para verificar se há caracteres indesejados no final do arquivo.
  • Use echo com redirecionamento: em vez de colar o conteúdo diretamente, use echo com redirecionamento para criar o arquivo. Isso minimiza o risco de caracteres ocultos.
  • Use scp para copiar os arquivos do seu sistema local para a instância remota em vez de copiá-los.

Tarefas comuns - Criação dos certificados

Saiba como criar os certificados PEM Base64.

Quando você criar os certificados, crie seis certificados PEM Base64 do servidor (chamado formato openssl em alguns sistemas), com nomes de domínio e nomes de arquivo mapeados da seguinte forma, onde a UID é fornecida a você pelo Process Discovery e o domínio de ápice é seu domínio de ápice que você usará para o PEG. Cada certificado que você criar deve conter apenas o certificado de folha e não a cadeia completa.

Tabela 1. Mapeamento de nomes de domínio para certificados de nomes de arquivos
Domínio Nome do arquivo Cert Nome do arquivo de chaves (Obrigatório somente se você criou suas próprias chaves)
analytics-fiq-<UID>.<apex domain> analytics-cert.pem analytics-key.pem
proxy-fiq-<UID>.<apex domain> proxy-cert.pem proxy-key.pem
storage-fiq-<UID>.<apex domain> storage-cert.pem storage-key.pem
st-fiq-<UID>.<apex domain> st-cert.pem st-key.pem
dlp-fiq-<UID>.<apex domain> dlp-cert.pem dlp-key.pem
es-fiq-<UID>.<apex domain> es-cert.pem es-key.pem
klite-fiq-<UID>.<apex domain> klite-cert.pem klite-key.pem
Nota: Você pode criar um certificado com todas as SANs. Você também pode criar apenas uma chave se criar chaves se quiser. Entretanto, você ainda precisará certificar-se de que existem sete cópias desse certificado e sete cópias dessa chave (se você criou chaves) nomeadas como indicado anteriormente. Não criar um certificado wildcard.

Considerações

Revise as considerações a seguir para criar certificados para instalação do PEG:
  • Certificados curinga não são permitidos: Você não pode usar certificados curinga para implantações PEG. Cada certificado deve ser criado de forma individual para cada serviço com um nome de domínio específico.
  • Os certificados não são válidos globalmente: Certificados gerados por CA interna não são considerados confiáveis de maneira global por sistemas externos, o que significa que eles precisam ser definidos como confiável manualmente em todos os dispositivos ou serviços do cliente.
  • Validação manual de certificados: Os certificados precisam ser validados manualmente em cada estágio de implantação para garantir que estejam corretos e não tenham sido corrompidos ou adulterados durante a transferência.
  • Transferência manual de certificado: Os certificados devem ser copiados manualmente para as máquinas virtuais (VMs), o que pode causar possíveis erros se isso for feito de maneira incorreta ou se os arquivos forem alterados durante o processo de cópia.
  • Garantia de certificados válidos em todas as máquinas: É essencial confirmar se todos os certificados são válidos e instalados de maneira correta em qualquer máquina que precise acessar os serviços protegidos por esses certificados.
  • Nenhuma renovação automática de certificado: Como os certificados internos não têm integração com os sistemas globais de CA, não há um processo de renovação automatizado. Os administradores devem rastrear e renovar os certificados manualmente antes que eles expirem para evitar interrupções no serviço.
  • Configuração adicional para confiança: Cada cliente ou sistema que acessa os serviços PEG deve configurar manualmente a confiança dos certificados de CA internos, o que pode envolver a instalação de certificados raiz ou o ajuste das configurações de segurança.
  • Risco de erro humano: A natureza manual da criação, da validação e da distribuição dos certificados aumenta a probabilidade de erro humano, como nomes de arquivo incorretos, configurações inválidas ou certificados ausentes.
  • Revogação e auditoria limitadas: As configurações de CA internas podem não ter mecanismos de revogação sofisticados (como Listas de revogação de certificados ou OCSP) suficientes, o que dificulta a revogação de certificados comprometidos ou expirados e a auditoria eficaz de seu uso.
  • Dificuldade no dimensionamento: Gerenciar um grande número de certificados manualmente em diversas máquinas virtuais (VMs) e ambientes pode ser difícil, pois à medida que o sistema cresce, ele exige processos dedicados para garantir a consistência.