Zertifikate für Web Application Firewall

Beschreibt, wie Sie Zertifikate mit der Web Application Firewall-Policy hinzufügen und verwalten.

Um SSL mit der WAF-Policy zu verwenden, müssen Sie ein Zertifikats-Bundle hinzufügen. Das Zertifikats-Bundle, das Sie hochladen, umfasst das öffentliche Zertifikat und den entsprechenden Private Key. Selbstsignierte Zertifikate können für die interne Kommunikation innerhalb von Oracle Cloud Infrastructure verwendet werden.

Oracle Cloud Infrastructure akzeptiert Drittanbieter- und selbstsignierte Zertifikate nur im PEM-Format. Das folgende Beispiel zeigt ein PEM-codiertes Zertifikat:


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

SSL-Zertifikate von Drittanbietern erhalten

Sie können ein SSL-Zertifikat von einer vertrauenswürdigen Certificate Authority wie Symantec, Thawte, RapidSSL oder GeoTrust erwerben. Der Zertifikatsaussteller stellt ein SSL-Zertifikat bereit, das ein Zertifikat, ein Zwischenzertifikat und einen Private Key umfasst. Verwenden Sie diese Informationen, einschließlich des Zwischenzertifikats, wenn Sie ein SSL-Zertifikat zu Oracle Cloud Infrastructure hinzufügen.

In das PEM-Format konvertieren

Wenn Sie Zertifikate und Schlüssel in anderen Formaten als PEM erhalten, müssen Sie sie konvertieren, bevor Sie sie in das System hochladen können. Mit OpenSSL können Sie Zertifikate und Schlüssel in das PEM-Format konvertieren.

Zertifikatsketten hochladen

Wenn Sie mehrere Zertifikate haben, die eine Zertifikatskette bilden, müssen Sie alle relevanten Zertifikate in eine Datei aufnehmen, bevor Sie sie in das System hochladen. Das folgende Beispiel einer Zertifikatskettendatei umfasst vier Zertifikate:

-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Private Keys senden

Wenn beim Senden eines Private Keys ein Fehler zurückgegeben wird, ist er in der Regel entweder nicht wohlgeformt, oder das System erkennt die für den Schlüssel verwendete Verschlüsselungsmethode nicht.

Private-Key-Konsistenz

Wenn in Bezug auf den Private Key eine Fehlermeldung ausgegeben wird, können Sie die Konsistenz mit OpenSSL prüfen:

openssl rsa -check -in <private_key>.pem

Dieser Befehl prüft, ob der Schlüssel intakt ist, die Passphrase korrekt ist und die Datei einen gültigen RSA-Private Key enthält.

Private Key entschlüsseln

Wenn das System die für Ihren Private Key verwendete Verschlüsselungstechnologie nicht erkennt, entschlüsseln Sie den Schlüssel. Laden Sie die unverschlüsselte Version des Schlüssels mit dem Zertifikats-Bundle hoch. Mit OpenSSL können Sie einen Private Key entschlüsseln:

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Unterstützte SSL-Cipher Suites

Die folgenden SSL-Cipher-Suites werden unterstützt:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

Einschränkungen

Beachten Sie die folgenden Einschränkungen beim Hinzufügen von SSL-Zertifikaten:
  • Jede Zeile mit Ausnahme der letzten muss genau 64 druckbare Zeichen enthalten. Die letzte Zeile darf maximal 64 druckbare Zeichen enthalten. Der Texteditor speichert ihn möglicherweise anders und hat möglicherweise eine andere Anzahl von Zeichen pro Zeile.
  • Um die Anzahl der Zeichen pro Zeile zu prüfen, verwenden Sie den folgenden Befehl: awk '{ print length }' filename.pem
  • Sie können kein SSL-Zertifikat für eine andere Domain hinzufügen. Für die Hauptdomain wird nur ein Zertifikat pro WAF-Policy unterstützt. Wenn Sie ein SSL-Zertifikat für eine zusätzliche Domain anwenden möchten, müssen Sie eine separate WAF-Policy dafür erstellen.