diff --git a/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.en-gb.md b/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.en-gb.md new file mode 100644 index 00000000000..d4a4b092b3c --- /dev/null +++ b/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.en-gb.md @@ -0,0 +1,120 @@ +--- +title: "Encrypting Backup Jobs with Veeam and OKMS" +excerpt: "Learn how to configure encrypted backup jobs using Veeam and the OVHcloud KMS (OKMS) service to enhance data protection." +updated: 2025-03-31 +--- + +## Objective + +This guide explains how to configure encrypted backup jobs using the Veeam backup solution and the OVHcloud KMS (OKMS) service. + +## Requirements + +- Access to the [OVHcloud Control Panel](/links/manager). +- A [Hosted Private Cloud VMware vSphere on OVHcloud](/links/hosted-private-cloud/vmware) offer. +- You must have read the following guides: + - [KMS integration for VMware on OVHcloud](/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_overall_vm-encrypt). + - [Getting started with OKMS](/pages/manage_and_operate/kms/quick-start). + +## Instructions + +### Step 1: Create the Certificate in OKMS Service + +You can create the certificate from the dedicated entry from the [OVHcloud Control Panel](/links/manager): + +1.\ Click `Hosted Private Cloud`{.action} then `Identity, Security & Operations`{.action} and `Key Management Service`{.action}.Select your KMS. + +![Console Dashboard](images/console_1.png){.thumbnail} + +2.\ Select your KMS. + +![KMS List](images/console_2.png){.thumbnail} + +3.\ Then, click on `Generate an access certificate`{.action} button and generate the private key using the following API (without CSR): + +> [!api] +> +> @api {v1} /okms POST / /okms/resource/{okmsId}/credential + +![Generate an access certificate](images/veeam_okms_1.png){.thumbnail} + +4.\ Retrieve the certificate by making a GET request: + +> [!api] +> +> @api {v1} /okms GET /okms/resource/{okmsId}/credential + +Fill in the required fields in the Generate an access certificate window and select the option `I don’t have a private key`{.action}. + +![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail} + +5.\ Download the private key. + +6.\ Download the certificate. + +![Download Certificate](images/veeam_okms_3.png){.thumbnail} + +### Step 2: Convert PEM to PFX + +To import the certificate into Veeam, you must convert it to `.pfx` format using the following command: + +```bash +openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem +``` + +### Step 3: Import the Certificate to Veeam Windows Certificate Store + +1. Open the Windows Certificate Store on your Veeam server. +1. Import the `.pfx` certificate into the Veeam Windows Certificate Store. +1. Mark the certificate as exportable during import. + +![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail} + +### Step 4: Register the KMS Inside Veeam + +1.\ Open Veeam Backup & Replication and go to `Credentials & Passwords`{.action} then click on `Key Management Servers`{.action}. + +![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail} + +2.\ Click on `Add`{.action} to a new KMS server. + +![Add KMS Server](images/veeam_okms_6.png){.thumbnail} + +3.\ Enter the server address. + +For example, for a KMS created in the **eu-west-rbx** region: . + +Then, import your certificate from the Windows Key Store (the .`.pfx` file you imported previously). + +![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail} + +### Step 5: Retrieve the Server Certificate + +To retrieve the certificate from the OKMS server, use this command: + +```bash +openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null [!primary] +> Si vous n'êtes pas familier avec l'utilisation de l'API OVHcloud, consultez notre guide « [Premiers pas avec les API OVHcloud](/pages/manage_and_operate/api/first-steps) ». + +Générez la clé privée en utilisant l’appel API suivant (sans CSR) : + +> [!api] +> +> @api {v1} /okms POST / /okms/resource/{okmsId}/credential + +Récupérez ensuite la clé via l'appel GET suivant : + +> [!api] +> +> @api {v1} /okms GET /okms/resource/{okmsId}/credential + +#### 1.2 Créer le certificat dans l'espace client OVHcloud + +Connectez-vous à l'[espace client OVHcloud](/links/manager) puis cliquez sur `Hosted Private Cloud`{.action}. + +Cliquez ensuite sur `Identité, Securité & Opérations`{.action} et enfin sur `Key Management Service`{.action}. + +![Console Dashboard](images/console_1.png){.thumbnail} + +Sélectionnez votre KMS puis cliquez sur l'onglet `Certificats d'accès`{.action} + +Cliquez ensuite sur le bouton `Créer un certificat d'accès`{.action}. + +![Generate an access certificate](images/veeam_okms_1.png){.thumbnail} + +Remplissez les champs requis et sélectionnez l’option `Je n'ai pas de clé privée`{.action}. + +![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail} + +Téléchargez la clé privée. + +Téléchargez le certificat. + +![Download Certificate](images/veeam_okms_3.png){.thumbnail} + +### Étape 2 : Conversion du certificat PEM en format PFX + +Pour importer le certificat dans Veeam, vous devez le convertir au format `.pfx` en utilisant la commande suivante : + +```bash +openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem +``` + +### Étape 3 : Importation du certificat dans le Windows Certificate Store de Veeam + +1. Ouvrez le Windows Certificate Store sur votre serveur Veeam. +1. Importez le certificat `.pfx` dans le Windows Certificate Store de Veeam. +1. Cochez l'option permettant de rendre le certificat exportable lors de l'importation. + +![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail} + +### Étape 4 : Enregistrement du KMS dans Veeam + +1\. Ouvrez Veeam Backup & Replication et allez dans `Credentials & Passwords`{.action} puis cliquez sur `Key Management Servers`{.action}. + +![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail} + +2\. Cliquez sur `Add`{.action} pour ajouter un nouveau serveur KMS. + +![Add KMS Server](images/veeam_okms_6.png){.thumbnail} + +3\. Entrez l'adresse du serveur. + +Par exemple, pour un KMS créé dans la région **eu-west-rbx** : .\ + +Ensuite, importez votre certificat depuis le Windows Key Store (le fichier `.pfx` que vous avez importé précédemment). + +![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail} + +### Étape 5 : Récupération du certificat serveur + +Pour récupérer le certificat depuis le serveur OKMS, utilisez cette commande : + +```bash +openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null