Encrypting backup jobs with Veeam and OKMS - Guide creation

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.en-gb.md

@@ -0,0 +1,120 @@
+---
+title: "Encrypting Backup Jobs with Veeam and OKMS"
+excerpt: "Learn how to configure encrypted backup jobs using Veeam and the OVHcloud KMS (OKMS) service to enhance data protection."
+updated: 2025-03-31
+---
+
+## Objective
+
+This guide explains how to configure encrypted backup jobs using the Veeam backup solution and the OVHcloud KMS (OKMS) service.
+
+## Requirements
+
+- Access to the [OVHcloud Control Panel](/links/manager).
+- A [Hosted Private Cloud VMware vSphere on OVHcloud](/links/hosted-private-cloud/vmware) offer.
+- You must have read the following guides:
+    - [KMS integration for VMware on OVHcloud](/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_overall_vm-encrypt).
+    - [Getting started with OKMS](/pages/manage_and_operate/kms/quick-start).
+
+## Instructions
+
+### Step 1: Create the Certificate in OKMS Service
+
+You can create the certificate from the dedicated entry from the [OVHcloud Control Panel](/links/manager): 
+
+1.\ Click `Hosted Private Cloud`{.action} then `Identity, Security & Operations`{.action} and `Key Management Service`{.action}.Select your KMS.
+
+![Console Dashboard](images/console_1.png){.thumbnail}
+
+2.\ Select your KMS.
+
+![KMS List](images/console_2.png){.thumbnail}
+
+3.\ Then, click on `Generate an access certificate`{.action} button and generate the private key using the following API (without CSR):
+
+> [!api]
+>
+> @api {v1} /okms POST / /okms/resource/{okmsId}/credential
+
+![Generate an access certificate](images/veeam_okms_1.png){.thumbnail}
+
+4.\ Retrieve the certificate by making a GET request:
+
+> [!api]
+>
+> @api {v1} /okms GET /okms/resource/{okmsId}/credential
+
+Fill in the required fields in the Generate an access certificate window and select the option `I don’t have a private key`{.action}.
+
+![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail}
+
+5.\ Download the private key.
+
+6.\ Download the certificate.
+
+![Download Certificate](images/veeam_okms_3.png){.thumbnail}
+
+### Step 2: Convert PEM to PFX
+
+To import the certificate into Veeam, you must convert it to `.pfx` format using the following command:
+
+```bash
+openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem
+```
+
+### Step 3: Import the Certificate to Veeam Windows Certificate Store
+
+1. Open the Windows Certificate Store on your Veeam server.
+1. Import the `.pfx` certificate into the Veeam Windows Certificate Store.
+1. Mark the certificate as exportable during import.
+
+![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail}
+
+### Step 4: Register the KMS Inside Veeam
+
+1.\ Open Veeam Backup & Replication and go to `Credentials & Passwords`{.action} then click on `Key Management Servers`{.action}.
+
+![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail}
+
+2.\ Click on `Add`{.action} to a new KMS server.
+
+![Add KMS Server](images/veeam_okms_6.png){.thumbnail}
+
+3.\ Enter the server address. 
+
+For example, for a KMS created in the **eu-west-rbx** region: <https://eu-west-rbx.okms.ovh.net>.
+
+Then, import your certificate from the Windows Key Store (the .`.pfx` file you imported previously).
+
+![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail}
+
+### Step 5: Retrieve the Server Certificate
+
+To retrieve the certificate from the OKMS server, use this command:
+
+```bash
+openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null </dev/null |  sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
+```
+
+### Step 6: Configure Backup Job Encryption
+
+1.\ Register the KMS server in your Veeam Backup & Replication console.
+2.\ Select the desired backup job and configure encryption using the registered KMS.
+
+![Configure Backup Encryption](images/veeam_okms_8.png){.thumbnail}
+
+3.\ Once the backup is complete, you will see a lock icon next to the backup name indicating it is encrypted.
+
+![Encrypted Backup](images/veeam_okms_9.png){.thumbnail}
+
+4.\ If you encounter the error **Unsupported attribute: OPERATION_POLICY_NAME**, follow the instructions provided in the documentation to resolve the issue.
+
+![Operation Policy Name Error](images/veeam_okms_10.png){.thumbnail}
+
+## Go further
+
+If you need training or technical assistance to implement our solutions, please contact your Technical Account Manager or click on [this link](/links/professional-services) to get a quote and ask our Professional Services experts for a custom analysis of your project.
+
+Ask questions, give your feedback and interact directly with the team building our Hosted Private Cloud services on the dedicated [Discord](https://discord.gg/ovhcloud) channel.
+
+Join our [community of users](/links/community).

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/guide.fr-fr.md

@@ -0,0 +1,127 @@
+---
+title: "Chiffrement des tâches de sauvegarde avec Veeam et OKMS"
+excerpt: "Découvrez comment configurer des tâches de sauvegarde chiffrées en utilisant Veeam et le service KMS d’OVHcloud (OKMS) pour renforcer la protection des données"
+updated: 2025-03-31
+---
+
+## Objectif
+
+Ce guide explique comment configurer des tâches de sauvegarde chiffrées en utilisant la solution de sauvegarde Veeam et le service KMS d’OVHcloud (OKMS).
+
+## Prérequis
+
+- Être connecté à l'[espace client OVHcloud](/links/manager) et à [l'API OVHcloud](/links/api).
+- Disposer d'une offre [VMware on OVHcloud](/links/hosted-private-cloud/vmware).
+- Avoir lu les guides :
+    - [Intégration d'un KMS pour VMware on OVHcloud](/pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_overall_vm-encrypt).
+    - [Premiers pas avec OKMS](/pages/manage_and_operate/kms/quick-start).
+
+## En pratique
+
+### Étape 1 : Création du certificat dans le service OKMS
+
+#### 1.1 Créez une clé privée via l'API OVHcloud
+
+> [!primary]
+> Si vous n'êtes pas familier avec l'utilisation de l'API OVHcloud, consultez notre guide « [Premiers pas avec les API OVHcloud](/pages/manage_and_operate/api/first-steps) ».
+
+Générez la clé privée en utilisant l’appel API suivant (sans CSR) :
+
+> [!api]
+>
+> @api {v1} /okms POST / /okms/resource/{okmsId}/credential
+
+Récupérez ensuite la clé via l'appel GET suivant :
+
+> [!api]
+>
+> @api {v1} /okms GET /okms/resource/{okmsId}/credential
+
+#### 1.2 Créer le certificat dans l'espace client OVHcloud
+
+Connectez-vous à l'[espace client OVHcloud](/links/manager) puis cliquez sur `Hosted Private Cloud`{.action}.
+
+Cliquez ensuite sur `Identité, Securité & Opérations`{.action} et enfin sur `Key Management Service`{.action}.
+
+![Console Dashboard](images/console_1.png){.thumbnail}
+
+Sélectionnez votre KMS puis cliquez sur l'onglet `Certificats d'accès`{.action}
+
+Cliquez ensuite sur le bouton `Créer un certificat d'accès`{.action}.
+
+![Generate an access certificate](images/veeam_okms_1.png){.thumbnail}
+
+Remplissez les champs requis et sélectionnez l’option `Je n'ai pas de clé privée`{.action}.
+
+![Generate Access Certificate - No Private Key](images/veeam_okms_2.png){.thumbnail}
+
+Téléchargez la clé privée.
+
+Téléchargez le certificat.
+
+![Download Certificate](images/veeam_okms_3.png){.thumbnail}
+
+### Étape 2 : Conversion du certificat PEM en format PFX
+
+Pour importer le certificat dans Veeam, vous devez le convertir au format `.pfx` en utilisant la commande suivante :
+
+```bash
+openssl pkcs12 -export -out cert.pfx -inkey privatekey.pem -in certificate.pem
+```
+
+### Étape 3 : Importation du certificat dans le Windows Certificate Store de Veeam
+
+1. Ouvrez le Windows Certificate Store sur votre serveur Veeam.
+1. Importez le certificat `.pfx` dans le Windows Certificate Store de Veeam.
+1. Cochez l'option permettant de rendre le certificat exportable lors de l'importation.
+
+![Import Certificate - Exportable](images/veeam_okms_4.png){.thumbnail}
+
+### Étape 4 : Enregistrement du KMS dans Veeam
+
+1\. Ouvrez Veeam Backup & Replication et allez dans `Credentials & Passwords`{.action} puis cliquez sur `Key Management Servers`{.action}.
+
+![Veeam Key Management Servers](images/veeam_okms_5.png){.thumbnail}
+
+2\. Cliquez sur `Add`{.action} pour ajouter un nouveau serveur KMS.
+
+![Add KMS Server](images/veeam_okms_6.png){.thumbnail}
+
+3\. Entrez l'adresse du serveur.
+
+Par exemple, pour un KMS créé dans la région **eu-west-rbx** : <https://eu-west-rbx.okms.ovh.net>.\
+
+Ensuite, importez votre certificat depuis le Windows Key Store (le fichier `.pfx` que vous avez importé précédemment).
+
+![Add KMS Server Details](images/veeam_okms_7.png){.thumbnail}
+
+### Étape 5 : Récupération du certificat serveur
+
+Pour récupérer le certificat depuis le serveur OKMS, utilisez cette commande :
+
+```bash
+openssl s_client -connect eu-west-rbx.okms.ovh.net:443 2>/dev/null </dev/null |  sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
+```
+
+### Étape 6 : Configuration du chiffrement des tâches de sauvegarde
+
+1\. Enregistrez le serveur KMS dans votre console Veeam Backup & Replication.
+2\. Sélectionnez la tâche de sauvegarde souhaitée et configurez le chiffrement en utilisant le KMS enregistré.
+
+![Configure Backup Encryption](images/veeam_okms_8.png){.thumbnail}
+
+3\. Une fois la sauvegarde terminée, vous verrez une icône de cadenas à côté du nom de la sauvegarde indiquant qu'elle est chiffrée.
+
+![Encrypted Backup](images/veeam_okms_9.png){.thumbnail}
+
+4\. Si vous rencontrez l'erreur **Unsupported attribute: OPERATION_POLICY_NAME**, suivez les instructions fournies dans la documentation pour résoudre le problème.
+
+![Operation Policy Name Error](images/veeam_okms_10.png){.thumbnail}
+
+## Aller plus loin
+
+Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur [ce lien](/links/professional-services) pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services.
+
+Posez vos questions, donnez votre avis et échangez directement avec l’équipe en charge des services Hosted Private Cloud sur notre canal [Discord](https://discord.gg/ovhcloud).
+
+Échangez avec notre [communauté d'utilisateurs](/links/community).

pages/hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms/meta.yaml

@@ -0,0 +1,3 @@
+id: c016e630-e0e1-4909-bbb0-bd359bafc9a6
+full_slug: veeam_encrypt_backup_okms
+reference_category: storage-backup-and-disaster-recovery-solution-veeam

pages/index.md

@@ -484,6 +484,7 @@
             + [Delete VM replica from Zerto recovery site](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/zerto_vm_replica_deletion)
             + [Reregister VMs in a new PCC](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/vmware_register_vmx)
             + [Veeam Cloud Connect - How to migrate data from Veeam Cloud Connect to Object Storage](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam-cloud-connect-migration)
+            + [Encrypting backup jobs with Veeam and OKMS](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms)
         + [SecNumCloud](hosted-private-cloud-hosted-private-cloud-powered-by-vmware-secnumcloud)
             + [Responsibility sharing for the SecNumcloud-qualified VMware on OVHcloud service](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/SNC-responsibility-sharing)
             + [Mise en route de votre vSphere SecNumCloud](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/snc_getting_started)
@@ -1801,6 +1802,7 @@
             + [Backing up a Bare Metal Linux Server with Veeam Enterprise](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-backup-linux)
             + [Backing Up a Bare Metal Windows Server Using Veeam Agent for Windows](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-backup-windows-agent)
             + [Restoring a Bare Metal Server with Veeam Enterprise](bare_metal_cloud/dedicated_servers/veeam-enterprise-server-restore)
+            + [Encrypting backup jobs with Veeam and OKMS](hosted_private_cloud/hosted_private_cloud_powered_by_vmware/veeam_encrypt_backup_job_with_okms)
         + [HYCU for OVHcloud](storage-backup-and-disaster-recovery-solution-hycu)
             + [Configuring HYCU Backup](hosted_private_cloud/nutanix_on_ovhcloud/40-hycu-backup)
         + [Agent Backup for IaaS](storage-backup-and-disaster-recovery-solution-agent-backup-for-iaas)