Introdução

O uso de certificados SSL/TLS é essencial para proteger o tráfego entre clientes e aplicações. No OCI, é possível associar certificados diretamente ao Load Balancer para habilitar conexões HTTPS ou, como recomendado pela Oracle, utilizar o Certificates Service, que simplifica a criação, importação e manutenção. Neste blog, vamos configurar o OCI Load Balancer utilizando ambos os modelos de certificados

Objetivos:

  • Criar um load balancer com certificado SSL/TLS utilizando o OCI Certificates Service.
  • Criar um load balancer com certificado SSL/TLS diretamente no load balancer.

Pré-requisitos:

Load Balancer com certificado SSL/TLS utilizando o OCI Certificates Service

Para configurar o OCI Load Balancer com um certificado gerenciado pelo OCI Certificates Service, é necessário que o certificado já esteja importado no serviço. Caso ainda não tenha um certificado disponível, siga o passo a passo descrito neste link antes de prosseguir com a configuração.

Nota: Este conteúdo não abordará em detalhes a configuração completa do OCI Load Balancer, focando apenas na parte de certificados. Para instruções detalhadas sobre a configuração do Load Balancer, consulte a documentação oficial da Oracle.

Na Console da OCI, acesse o menu Networking, então Load balancers e selecione Load balancer. Em seguida, clique em Create load balancer para iniciar a criação.

Insira as informações básicas do Load Balancer, como nome, tipo de visibilidade (público ou privado) e backends (VMs ou endereços IP). Siga com a configuração até chegar à seção do Listener, onde será feita a associação do certificado SSL/TLS.

Nessa etapa, defina o tipo de tráfego como HTTPS, a porta como 443, e selecione o certificado gerenciado pelo OCI Certificates Service que será utilizado para proteger as conexões seguras via SSL/TLS. Avance e então provisione o Load Balancer.

lb-managed
Assossiando Certificado ao LB

Nota: Caso o usuário não seja administrador do tenancy ou não possua permissões de manage no agregado certificate-authority-family, será necessário ter permissões de manage especificamente no recurso certificate-authority-associations para conseguir associar o certificado ao Load Balancer, a permissão use não é suficiente.

Para mais detalhes sobre as permissões necessárias, consulte Policy Reference for the Certificates Service.

Em instantes, o provisionamento do Load Balancer será concluído.

lb-1
Load Balancer Provisionado

Em seguida, utilizarei o OCI DNS para criar um registro DNS apontando para o endereço IP do Load Balancer. Caso esteja utilizando outra ferramenta de gerenciamento de DNS, basta criar o mesmo registro apontando para o IP do Load Balancer. Se tiver interesse em criar ou migrar sua zona DNS para o OCI, acesse este artigo para configurar o serviço.

Na Console da OCI, acesse o menu Networking, então DNS management e selecione Public zones. Em seguida, clique sua zona pública, acesse a aba Records, selecione Manage Records e clique em Add Record. Em seguida, salve as alterações, revise as configurações e publique o registro.

lb-2
Criando Registro DNS

Para fins de teste, foi adicionada uma VM com o Apache instalado como backend do Load Balancer. Essa instância permite validar o funcionamento do certificado.

Agora, acessando https://test.ladlift2oci.com.br/, é possível verificar que o certificado SSL/TLS está sendo aplicado corretamente e que a conexão está segura.

lb-3
Validação certificado

Load Balancer com certificado SSL/TLS diretamente no load balancer

Diferente do modelo com o OCI Certificates Service, neste caso é necessário adicionar o certificado manualmente e diretamente no Load Balancer. Portanto, tenha em mãos os arquivos do seu certificado SSL/TLS, incluindo a chave privada e a cadeia de certificados, para realizar a configuração.

Nota: Este conteúdo não abordará em detalhes a configuração completa do OCI Load Balancer, focando apenas na parte de certificados. Para instruções detalhadas sobre a configuração do Load Balancer, consulte a documentação oficial da Oracle.

Na Console da OCI, acesse o menu Networking, então Load balancers e selecione Load balancer. Em seguida, clique em Create load balancer para iniciar a criação.

Insira as informações básicas do Load Balancer, como nome, tipo de visibilidade (público ou privado) e backends (VMs ou endereços IP). Siga com a configuração até chegar à seção do Listener, onde será feita a associação do certificado SSL/TLS.

Nessa etapa, defina o tipo de tráfego como HTTPS, a porta como 443, e selecione Load balancer managed certificate em SSL certificate.

lb-4
Editando Listening

Em seguida, selecione os arquivos correspondentes ao certificado que será adicionado ao Load Balancer: o Certificate, a Certificate Chain (cadeia de certificação intermediária) e a Private Key (chave privada). Avance e então provisione o Load Balancer.

lb-5
Adicionando Certificado

Em instantes, o provisionamento do Load Balancer será concluído.

lb-6
Load Balancer Provisionado

Em seguida, utilizarei o OCI DNS para criar um registro DNS apontando para o endereço IP do Load Balancer. Caso esteja utilizando outra ferramenta de gerenciamento de DNS, basta criar o mesmo registro apontando para o IP do Load Balancer. Se tiver interesse em criar ou migrar sua zona DNS para o OCI, acesse este artigo para configurar o serviço.

Na Console da OCI, acesse o menu Networking, então DNS management e selecione Public zones. Em seguida, clique sua zona pública, acesse a aba Records, selecione Manage Records e clique em Add Record. Em seguida, salve as alterações, revise as configurações e publique o registro.

lb-7
Criando Registro DNS

Para fins de teste, foi adicionada uma VM com o Apache instalado como backend do Load Balancer. Essa instância permite validar o funcionamento do certificado.

Agora, acessando https://test2.ladlift2oci.com.br/, é possível verificar que o certificado SSL/TLS está sendo aplicado corretamente e que a conexão está segura.

lb-8
Validação certificado

Conclusão

A configuração de certificados SSL/TLS no OCI Load Balancer é uma etapa fundamental para garantir comunicações seguras entre clientes e aplicações. Como vimos, o OCI Certificates Service oferece uma maneira mais prática e centralizada de gerenciar certificados, com benefícios como renovação e integração nativa com outros serviços da Oracle Cloud.

Já o modelo Self-Managed, em que o certificado é adicionado diretamente no Load Balancer.

Independentemente do método escolhido, manter certificados válidos e atualizados é essencial para a segurança e a confiabilidade do ambiente. Escolha o modelo que melhor se adapta à sua operação e siga as boas práticas de gestão e rotação de certificados para evitar interrupções e manter sua infraestrutura protegida.