Certificats pour Web Application Firewall

Explique comment les certificats sont ajoutés et gérés avec la stratégie de pare-feu d'application Web.

Pour utiliser SSL avec votre stratégie WAF, vous devez ajouter un groupe de certificats. Le groupe de certificats que vous téléchargez comprend le certificat public et la clé privée correspondante. Les certificats auto-signés peuvent être utilisés pour la communication interne au sein d'Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure accepte les certificats tiers et auto-signés au format PEM uniquement. Voici un exemple de certificat encodé PEM :


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Obtention de certificats SSL tiers

Vous pouvez acheter un certificat SSL auprès d'une autorité de certification sécurisée, telle que Symantec, Thawte, RapidSSL ou GeoTrust. L'émetteur du certificat fournit un certificat SSL qui inclut un certificat, un certificat intermédiaire et une clé privée. Utilisez ces informations, y compris le certificat intermédiaire, lorsque vous ajoutez un certificat SSL à Oracle Cloud Infrastructure.

Conversion au format PEM

Si vous recevez les certificats et les clés dans des formats autres que PEM, vous devez les convertir pour pouvoir les télécharger vers le système. Vous pouvez utiliser OpenSSL pour convertir des certificats et des clés au format PEM.

Téléchargement de chaînes de certificat

Si vous disposez de plusieurs certificats qui constituent une seule chaîne de certification, vous devez inclure tous les certificats appropriés dans un même fichier avant de les télécharger vers le système. L'exemple de fichier de chaîne de certificats suivant comporte quatre certificats :

Soumission de clés privées

Si votre soumission de clé privée renvoie une erreur, les raisons les plus courantes sont un format de clé privée incorrect ou la non-reconnaissance de la méthode de cryptage utilisée pour la clé par le système.

Cohérence de la clé privée

Si vous recevez une erreur en lien avec la clé privée, vous pouvez utiliser OpenSSL pour vérifier sa cohérence :

openssl rsa -check -in <private_key>.pem

Cette commande vérifie que la clé est intacte, que la phrase de passe est correcte et que le fichier contient une clé privée RSA valide.

Décryptage d'une clé privée

Si le système ne reconnaît pas la technologie de cryptage utilisée pour votre clé privée, décryptez la clé. Téléchargez la version non cryptée de la clé avec votre groupe de certificats. Vous pouvez utiliser OpenSSL pour décrypter une clé privée :

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Suites de chiffrement SSL prises en charge

Les mécanismes de cryptage SSL suivants sont pris en charge :

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

Limites

Tenez compte des restrictions suivantes lors de l'ajout de certificats SSL :

Chaque ligne, à l'exception de la dernière, doit contenir exactement 64 caractères imprimables. La ligne finale doit contenir 64 caractères imprimables ou moins. L'éditeur de texte peut l'enregistrer différemment et comporter un nombre de caractères différent par ligne.
Pour vérifier le nombre de caractères par ligne, utilisez la commande suivante : awk '{ print length }' filename.pem

Vous ne pouvez pas ajouter de certificat SSL pour un autre domaine. Un seul certificat par stratégie WAF est pris en charge pour le domaine principal. Si vous souhaitez appliquer un certificat SSL à un domaine supplémentaire, vous devez créer une stratégie WAF distincte.

Documentation Oracle Cloud Infrastructure