Configuration du déchiffrement et de l'inspection du trafic réseau
Installez le certificat et la clé privée nécessaires pour déchiffrer et inspecter le trafic TLS.
Les clés secrètes de chambre forte sont utilisées pour déchiffrer et inspecter le trafic SSL/TLS.
L'inspection entrante SSL déchiffre et inspecte le trafic SSL/TLS entrant d'un client vers un serveur réseau ciblé. Pour plus d'informations sur l'inspection entrante SSL, voir Inspection entrante SSL.
Le mandataire de transmission SSL déchiffre et inspecte le trafic SSL/TLS des utilisateurs internes vers le Web. Une seule clé secrète de mandataire de transmission SSL est autorisée pour chaque politique de pare-feu. Pour plus d'informations sur le mandataire de transmission SSL, voir Mandataire de transmission SSL,
Après avoir créé une politique de pare-feu, vous allez créer une clé secrète mappée pour mapper la clé secrète de la chambre forte à une clé SSL entrante ou sortante. Vous allez ensuite créer un profil de décryptage pour contrôler la façon dont le mandataire de transmission SSL et l'inspection entrante SSL effectuent les vérifications de mode de session, les vérifications de serveur et les vérifications des échecs.
Pour plus d'informations sur l'utilisation du certificat avec une politique de pare-feu, voir Création et gestion des politiques de pare-feu.
Créez une politique IAM pour permettre à la politique de pare-feu d'accéder aux clés secrètes de chambre forte et de les utiliser.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'} Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}Si cette autorisation est révoquée plus tard, le pare-feu arrêtera le déchiffrement du trafic, car le service ne pourra pas accéder à la clé secrète mappée.
Ces politiques remplacent la politique obsolète pour accéder aux clés secrètes de chambre forte :
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name> - Créez une chambre forte dans laquelle stocker le certificat.
- Créez une clé de chiffrement principale dans la chambre forte.Important
La clé principale doit être une clé symétrique. Vous ne pouvez pas chiffrer des clés secrètes avec des clés asymétriques.
Vous pouvez utiliser un certificat auto-signé ou signé par une autorité de certification avec le service de pare-feu de réseau OCI.
- Le service de pare-feu de réseau valide le certificat fourni et le stocke dans la racine des certificats approuvés. Pour valider le certificat, fournissez l'ensemble de la chaîne de certificats SSL, y compris le certificat racine des certificats intermédiaires et la clé privée. Chargez des certificats au format
.pemqui sont encapsulés dans le modèle.jsonsuivant. -
Si le certificat feuille spécifié dans
"certKeyPair"est un certificat de confiance directe, il doit avoir la capacité de signature d'autorité de certification. Réglez l'indicateurCAà"true".Dans cet exemple, si"LEAF_CERT_01_PEM_CONTENT"est un certificat de confiance directe, son indicateurCAdoit être réglé à"true".{ "caCertOrderedList" : [ "ROOT_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT02_PEM_CONTENT", ], "certKeyPair": { "cert" : "LEAF_CERT_01_PEM_CONTENT", "key": "PRIVATE_KEY_01_PEM_CONTENT" } }
- Téléchargez et installez OpenSSL.
- Téléchargez et installez Perl.
- Téléchargez le script à partir du référentiel Oracle GitHub.
- Exécutez le script à l'aide de la commande suivante. Remplacez <test.test.com> par le nom de DNS du serveur Web que vous devez protéger :
ou./create-certificate inbound <test.test.com>./create-certificate forward <test.test.com>
Créez une clé secrète dans la chambre forte pour chaque certificat que vous voulez utiliser.
- Ouvrez le menu de navigation, allez à Identité et sécurité, puis sélectionnez Chambre forte.
- Sous Portée de la liste, dans la liste Compartiment, sélectionnez le compartiment.
-
Sélectionnez la chambre forte que vous avez créée dans la Tâche 2 : Créer une chambre forte et une clé principale pour stocker le certificat.
- Sélectionnez Clés secrètes, puis Créer une clé secrète.
- Dans la boîte de dialogue Créer une clé secrète, sélectionnez un compartiment dans la liste Créer dans le compartiment. (Des clés secrètes peuvent exister hors du compartiment dans lequel se trouve la chambre forte.)
- Sélectionnez Nom, puis entrez un nom. Utilisez un nom correspondant au type de certificat que contient la clé secrète. Par exemple, "ssl-ininspection-inspection-certificate."
- Sélectionnez Description, puis entrez une description.
- Sélectionnez la clé de chiffrement principale que vous avez créée dans la Tâche 2 : Créer une chambre forte et une clé principale pour stocker le certificat.
- Indiquez Texte brut comme format pour le contenu de la clé secrète.
- Sélectionnez Contenu de la clé secrète, puis copiez le contenu du certificat dans le champ. (La taille maximale autorisée pour un ensemble de clé secrète est 25 Ko.)
- Sélectionnez Créer une clé secrète.
Exemple pour le contenu de la clé secrète créée avec des données masquées :
{
"caCertOrderedList" : [
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
],
"certKeyPair": {
"cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
"key": "-----BEGIN RSA PRIVATE KEY-----\nnnxxxxxxxxxxx\n-----END RSA PRIVATE KEY-----"
}
}