Encrypting backup jobs with Veeam and OKMS - Guide creation

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.en-gb.md

@@ -0,0 +1,149 @@
+---
+title: "Encrypting backup jobs with Veeam and OKMS"
+excerpt: "Learn how to configure encrypted backup jobs using Veeam and the OVHcloud Key Management Service (OKMS) to enhance data protection."
+updated: 2025-04-10
+---
+
+## Objective
+This guide explains how to configure encrypted backup jobs using the Veeam backup solution and the OVHcloud Key Management Service (OKMS).
+
+## Requirements
+- Access to the [OVHcloud Control Panel](/links/manager).
+- A [VMware on OVHcloud](/links/hosted-private-cloud/vmware) offer.
+- Review the following guides: 
+    - [Integrating a KMS with VMware on OVHcloud](/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_overall_vm-encrypt).
+    - [Getting started with OKMS](/pages/manage_and_operate/kms/quick-start).
+
+## Instructions
+
+### Step 1: Create a certificate in OKMS
+
+You can create your access certificate in OKMS using either the API or the [OVHcloud Control Panel](/links/manager)
+
+#### Option 1: Using the API
+
+1. Generate the private key using the API (no CSR):
+
+> [!api]
+>
+> @api {v1} /okms POST / /okms/resource/{okmsId}/credential
+
+2. Retrieve the certificate using a GET request:
+
+> [!api]
+>
+> @api {v1} /okms GET /okms/resource/{okmsId}/credential
+
+> [!note]
+> This method is equivalent to selecting `I don't have a private key`{.action} in the [OVHcloud Control Panel](/links/manager) interface.
+> You may also submit a CSR if you already have your own private key.
+
+3. Download the private key.
+
+4. Download the certificate.
+
+> [!info]
+> The downloaded private key is used to generate the `.pfx` file in the next step.
+> You don't need to import it manually into Veeam, but it is required to convert the certificate into a compatible format.
+> Make sure to store it securely.
+
+#### Option 2: Using the [OVHcloud Control Panel](/links/manager)
+
+1. In the [OVHcloud Control Panel](/links/manager), click `Hosted Private Cloud`{.action} then `Identity, Security & Operations`{.action} and finally `Key Management Service`{.action}. Select your KMS.
+
+![Console Dashboard](images/console_1.png){.thumbnail}
+
+2. Select your KMS.
+
+![KMS List](images/console_2.png){.thumbnail}
+
+3. Open the `Access certificates` tab.
+
+![Access certificates tab](images/veeam_okms_1.png){.thumbnail}
+
+4. Click `Generate an access certificate`{.action}.
+
+5. fill in the required fields, and select `I don’t have a private key`{.action}.
+
+![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail}
+
+> [!note]
+> This is the same as generating a certificate without a CSR, like with the API.
+> You can also choose `I already have a private key` to generate a certificate using your own CSR.
+
+5. Add user IDs to the certificate:
+    - Click `Add user IDs`{.action}
+    - Select the authorized users
+    - Confirm to associate the certificate
+
+> [!info]
+> This step is required for the certificate to work with Veeam.
+
+6. Download the private key and the certificate.
+
+![Download Certificate](images/veeam_okms_3.png){.thumbnail}
+
+### Step 2: Convert the PEM certificate to PFX format
+
+To import the certificate into Veeam, convert it to `.pfx` format using the command below:
+
+```bash
+openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem
+```
+
+### Step 3: Import the certificate into the Veeam Windows Certificate Store
+
+- Open the Windows Certificate Store on your Veeam server.
+- Import the `.pfx` file generated in the previous step.
+- Check the option to make the certificate exportable.
+
+![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail}
+
+### Step 4: Register the KMS in Veeam
+
+- Open Veeam Backup & Replication and go to `Credentials & Passwords`{.action}, then click `Key Management Servers`{.action}.
+
+![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail}
+
+- Click `Add`{.action} to add a new KMS server.
+
+![Add KMS Server](images/veeam_okms_6.png){.thumbnail}
+
+- Enter the following details:
+  - Server address: `eu-west-rbx.okms.ovh.net`
+  - Port: `5696`
+  - Server certificate: `*.okms.ovh.net`
+  - Client certificate: the `.pfx` file you just imported
+
+![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail}
+
+### Step 5: Retrieve the server certificate
+
+To retrieve the server certificate from OKMS, run the following command:
+
+```bash
+openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
+```
+
+### Step 6: Configure backup job encryption
+
+- Register the KMS server in your Veeam Backup & Replication console.
+- Select the desired backup job and enable encryption using the registered KMS.
+
+![Configure Backup Encryption](images/veeam_okms_8.png){.thumbnail}
+
+- Once the backup has run, a padlock icon appears next to its name.
+
+![Encrypted Backup](images/veeam_okms_9.png){.thumbnail}
+
+- If you encounter the error `Unsupported attribute: OPERATION_POLICY_NAME`, check the documentation or contact support.
+
+![Operation Policy Name Error](images/veeam_okms_10.png){.thumbnail}
+
+## Go further
+
+If you need training or technical assistance to implement our solutions, contact your Technical Account Manager or click [this link](/links/professional-services) to request a quote and get personalized support from our Professional Services team.
+
+Ask questions, share feedback, and interact directly with the Hosted Private Cloud team on our [Discord](https://discord.gg/ovhcloud) channel.
+
+Join our [community of users](/links/community).

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.fr-fr.md

@@ -0,0 +1,148 @@
+---
+title: "Chiffrement des tâches de sauvegarde avec Veeam et OKMS"
+excerpt: "Découvrez comment configurer des tâches de sauvegarde chiffrées en utilisant Veeam et le service KMS d’OVHcloud (OKMS) pour renforcer la protection des données."
+updated: 2025-04-10
+---
+
+## Objectif
+Ce guide explique comment configurer des tâches de sauvegarde chiffrées en utilisant la solution de sauvegarde Veeam et le service KMS d’OVHcloud (OKMS).
+
+## Prérequis
+- Être connecté à [l'espace client OVHcloud](/links/manager).
+- Disposer d'une offre [VMware on OVHcloud](/links/hosted-private-cloud/vmware).
+- Avoir lu les guides : 
+    - [Intégration d'un KMS pour VMware on OVHcloud](/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_overall_vm-encrypt).
+    - [Premiers pas avec OKMS](/pages/manage_and_operate/kms/quick-start).
+
+## En pratique
+
+### Étape 1 : Créer un certificat dans OKMS
+
+Vous pouvez créer votre certificat d’accès dans OKMS en utilisant soit l’API, soit [l'espace client OVHcloud](/links/manager).
+
+#### Option 1 : Utiliser l’API
+
+1. Générez la clé privée avec l’API (sans CSR) :
+
+> [!api]
+>
+> @api {v1} /okms POST / /okms/resource/{okmsId}/credential
+
+2. Récupérez le certificat avec une requête GET :
+
+> [!api]
+>
+> @api {v1} /okms GET /okms/resource/{okmsId}/credential
+
+> [!note]
+> Cette méthode est équivalente au choix de l’option `I don't have a private key`{.action}dans [l'espace client OVHcloud](/links/manager).
+> Vous pouvez également soumettre un CSR si vous avez déjà votre propre clé privée.
+
+3. Téléchargez la clé privée.
+
+4. Téléchargez le certificat.
+
+> [!info]
+> La clé privée téléchargée est utilisée pour générer le fichier `.pfx` à l’étape suivante.
+> Vous n’avez pas besoin de l’importer manuellement dans Veeam, mais elle est requise pour convertir le certificat dans un format compatible.
+> Veillez à la conserver en lieu sûr.
+
+#### Option 2 : Utiliser [l'espace client OVHcloud](/links/manager).
+
+1. Dans [l’espace client OVHcloud](/links/manager), cliquez sur `Hosted Private Cloud`{.action} puis sur `Identity, Security & Operations`{.action} et enfin sur `Key Management Service`{.action}. Sélectionnez votre KMS.
+
+![Console Dashboard](images/console_1.png){.thumbnail}
+
+2. Sélectionnez votre KMS.
+
+![KMS List](images/console_2.png){.thumbnail}
+
+3. Ouvrez l’onglet `Certificats d’accès`.
+
+![Access certificates tab](images/veeam_okms_1.png){.thumbnail}
+
+4. Cliquez sur `Générer un certificat d’accès`{.action}.
+
+5. Renseignez les champs requis, puis sélectionnez `Je n’ai pas de clé privée`{.action}.
+
+![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail}
+
+> [!note]
+> Cela revient à générer un certificat sans CSR, comme avec l’API.
+> Vous pouvez également choisir `J’ai déjà une clé privée` pour générer un certificat à partir de votre propre CSR.
+
+5. Ajoutez des identifiants utilisateur au certificat :
+    - Cliquez sur `Ajouter des identifiants`{.action}
+    - Sélectionnez les utilisateurs autorisés
+    - Validez l’association au certificat
+
+> [!info]
+> Cette étape est indispensable pour que le certificat fonctionne avec Veeam.
+
+6. Téléchargez la clé privée et le certificat.
+
+![Download Certificate](images/veeam_okms_3.png){.thumbnail}
+
+### Étape 2 : Conversion du certificat PEM en format PFX
+
+Pour importer le certificat dans Veeam, vous devez le convertir au format `.pfx` en utilisant la commande suivante :
+
+```bash
+openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem
+```
+
+### Étape 3 : Importation du certificat dans le Windows Certificate Store de Veeam
+
+- Ouvrez le Windows Certificate Store sur votre serveur Veeam.
+- Importez le fichier `.pfx` généré à l’étape précédente.
+- Cochez l’option permettant de rendre le certificat exportable.
+
+![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail}
+
+### Étape 4 : Enregistrement du KMS dans Veeam
+
+- Ouvrez Veeam Backup & Replication et allez dans `Credentials & Passwords`{.action}, puis cliquez sur `Key Management Servers`{.action}.
+
+![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail}
+
+- Cliquez sur `Add`{.action} pour ajouter un nouveau serveur KMS.
+
+![Add KMS Server](images/veeam_okms_6.png){.thumbnail}
+
+- Saisissez les informations suivantes :
+    - Adresse du serveur : `eu-west-rbx.okms.ovh.net`
+    - Port : `5696`
+    - Certificat serveur : `*.okms.ovh.net`
+    - Certificat client : le fichier `.pfx` que vous venez d'importer
+
+![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail}
+
+### Étape 5 : Récupération du certificat serveur
+
+Pour récupérer le certificat depuis le serveur OKMS, utilisez la commande suivante :
+
+```bash
+openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null </dev/null |  sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
+```
+### Étape 6 : Configuration du chiffrement des tâches de sauvegarde
+
+- Enregistrez le serveur KMS dans votre console Veeam Backup & Replication.
+- Sélectionnez la tâche de sauvegarde souhaitée, puis configurez le chiffrement avec le KMS enregistré.
+
+![Configure Backup Encryption](images/veeam_okms_8.png){.thumbnail}
+
+- Une fois la sauvegarde exécutée, une icône de cadenas s'affiche à côté de son nom.
+
+![Encrypted Backup](images/veeam_okms_9.png){.thumbnail}
+
+- En cas d’erreur `Unsupported attribute: OPERATION_POLICY_NAME`, consultez la documentation ou contactez le support.
+
+![Operation Policy Name Error](images/veeam_okms_10.png){.thumbnail}
+
+## Aller plus loin
+
+Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur [ce lien](/links/professional-services) pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services.
+
+Posez vos questions, donnez votre avis et échangez directement avec l’équipe en charge des services Hosted Private Cloud sur notre canal [Discord](https://discord.gg/ovhcloud).
+
+Échangez avec notre [communauté d'utilisateurs](/links/community).

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/meta.yaml

@@ -0,0 +1,3 @@
+id: c016e630-e0e1-4909-bbb0-bd359bafc9a6
+full_slug: veeam_encrypt_backup_okms
+reference_category: storage-backup-and-disaster-recovery-solution-veeam

pages/index.md

@@ -484,6 +484,7 @@
             + [Delete VM replica from Zerto recovery site](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/zerto_vm_replica_deletion)
             + [Reregister VMs in a new PCC](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_register_vmx)
             + [Veeam Cloud Connect - How to migrate data from Veeam Cloud Connect to Object Storage](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam-cloud-connect-migration)
+            + [Encrypting backup jobs with Veeam and OKMS](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms)
         + [SecNumCloud](hosted-private-cloud-hosted-private-cloud-powered-by-vmware-secnumcloud)
             + [Responsibility sharing for the SecNumcloud-qualified VMware on OVHcloud service](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/SNC-responsibility-sharing)
             + [Mise en route de votre vSphere SecNumCloud](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/snc_getting_started)
@@ -1801,6 +1802,7 @@
             + [Backing up a Bare Metal Linux Server with Veeam Enterprise](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-backup-linux)
             + [Backing Up a Bare Metal Windows Server Using Veeam Agent for Windows](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-backup-windows-agent)
             + [Restoring a Bare Metal Server with Veeam Enterprise](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-restore)
+            + [Encrypting backup jobs with Veeam and OKMS](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms)
         + [HYCU for OVHcloud](storage-backup-and-disaster-recovery-solution-hycu)
             + [Configuring HYCU Backup](hosted_private_cloud/nutanix_on_ovhcloud/40-hycu-backup)
         + [Agent Backup for IaaS](storage-backup-and-disaster-recovery-solution-agent-backup-for-iaas)