Certificados para Web Application Firewall

Describe cómo se agregan y gestionan los certificados con la política de firewall de aplicación web.

Para utilizar SSL con la política de WAF, debe agregar un grupo de certificados. El paquete de certificados que cargue incluye el certificado público y la clave privada correspondiente. Los certificados autofirmados se pueden utilizar para la comunicación interna dentro de Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure solo acepta certificados autofirmados y de terceros en formato PEM. A continuación, se muestra un ejemplo de certificado codificado en formato PEM:


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Obtención de certificados SSL de terceros

Puede adquirir un certificado SSL de una autoridad de certificación de confianza como Symantec, Thawte, RapidSSL o GeoTrust. El emisor del certificado proporciona un certificado SSL que incluye un certificado, un certificado intermedio y una clave privada. Utilice esta información, incluido el certificado intermedio, al agregar un certificado SSL a Oracle Cloud Infrastructure.

Conversión a formato PEM

Si recibe certificados y claves en formatos distintos a PEM, debe convertirlos para poder cargarlos en el sistema. Puede utilizar OpenSSL para convertir certificados y claves al formato PEM.

Carga de cadenas de certificados

Si tiene varios certificados que forman una sola cadena de certificación, debe incluir todos los certificados relevantes en un archivo antes de cargarlos en el sistema. El siguiente ejemplo de un archivo de cadena de certificados incluye cuatro certificados:

-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Envío de claves privadas

Si el envío de la clave privada devuelve un error, los motivos más comunes son que la clave privada tiene un formato incorrecto o que el sistema no reconoce el método de cifrado utilizado para la clave.

Coherencia de la clave privada

Si recibe un error relacionado con la clave privada, puede utilizar OpenSSL para comprobar su coherencia:

openssl rsa -check -in <private_key>.pem

Este comando verifica que la clave está intacta, que la frase de contraseña es correcta y que el archivo contiene una clave privada RSA válida.

Descifrado de una clave privada

Si el sistema no reconoce la tecnología de cifrado utilizada para la clave privada, descifre la clave. Cargue la versión sin cifrar de la clave con el paquete de certificados. Puede utilizar OpenSSL para descifrar una clave privada:

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Conjuntos de Cifrado de SSL Soportados

Están soportados los siguientes conjuntos de cifrado SSL:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

Limitaciones

Tenga en cuenta las siguientes limitaciones al agregar certificados SSL:
  • Cada línea, excepto la última, debe contener exactamente 64 caracteres imprimibles. La línea final debe contener 64 caracteres imprimibles o menos. El editor de texto puede guardarlo de forma diferente y puede tener un número diferente de caracteres por línea.
  • Para comprobar el número de caracteres por línea, utilice el siguiente comando: awk '{ print length }' filename.pem
  • No puede agregar un certificado SSL para otro dominio. Solo se admite un certificado por política de WAF para el dominio principal. Si desea aplicar un certificado SSL para un dominio adicional, debe crear una política de WAF independiente para él.