Certificats pour un pare-feu d'application Web

Cette section décrit comment des certificats sont ajoutés et gérés avec la politique de pare-feu d'application Web.

Pour utiliser SSL avec votre politique WAF, vous devez ajouter un ensemble de certificats. L'ensemble de certificats chargé comprend le certificat public et la clé privée correspondante. Des certificats auto-signés peuvent être utilisés pour la communication interne dans Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure accepte uniquement les certificats de tierce partie et auto-signés dans le format PEM. Voici un exemple de certificat encodé en PEM :


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Obtention de certificats SSL de tierce partie

Vous pouvez acheter un certificat SSL d'une autorité de certification sécurisée telle que Symantec, Thawte, RapidSSL ou GeoTrust. L'émetteur du certificat fournit un certificat SSL qui inclut un certificat, un certificat intermédiaire et une clé privée. Utilisez ces informations, notamment le certificat intermédiaire, lors de l'ajout d'un certificat SSL à Oracle Cloud Infrastructure.

Conversion dans le format PEM

Si vous recevez vos certificats et clés dans des formats autres que PEM, vous devez les convertir avant de les charger dans le système. Vous pouvez utiliser OpenSSL pour convertir des certificats et des clés dans le format PEM.

Chargement des chaînes de certificats

Si plusieurs certificats forment une seule chaîne de certification, vous devez inclure tous les certificats pertinents dans un fichier avant de les charger dans le système. L'exemple suivant d'un fichier de chaînes de certificats comprend quatre certificats :

-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Soumission des clés privées

Si votre soumission de clé privée retourne une erreur, les motifs les plus courants sont : votre clé a un format incorrect ou le système ne reconnaît pas la méthode de chiffrement utilisée pour votre clé.

Cohérence de la clé privée

Si vous recevez une erreur liée à la clé privée, vous pouvez utiliser OpenSSL pour vérifier sa cohérence :

openssl rsa -check -in <private_key>.pem

Cette commande vérifie que la clé est intacte, que la phrase secrète est correcte et que le fichier contient une clé privée RSA valide.

Déchiffrement d'une clé privée

Si le système ne reconnaît pas la technologie de chiffrement utilisée pour votre clé privée, déchiffrez la clé. Chargez la version non chiffrée de la clé avec votre ensemble de certificats. Vous pouvez utiliser OpenSSL pour déchiffrer une clé privée :

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Suites de chiffrement SSL prises en charge

Voici les suites de chiffrement SSL prises en charge :

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

Limitations

Tenez compte des limitations suivantes lors de l'ajout de certificats SSL :
  • Chaque ligne, à l'exception du dernier, doit contenir exactement 64 caractères imprimables. La ligne finale doit contenir un maximum de 64 caractères imprimables. L'éditeur de texte peut l'enregistrer différemment et peut comporter un nombre différent de caractères par ligne.
  • Pour vérifier le nombre de caractères par ligne, utilisez la commande suivante : awk '{ print length }' filename.pem
  • Vous ne pouvez pas ajouter un certificat SSL pour un autre domaine. Un seul certificat par politique WAF est pris en charge pour le domaine principal. Si vous voulez appliquer un certificat SSL à un domaine supplémentaire, vous devez créer une politique WAF distincte pour celui-ci.