Configuration du déchiffrement et de l'inspection du trafic réseau
Installez le certificat et la clé privée nécessaires pour déchiffrer et inspecter le trafic TLS.
Les clés secrètes de coffre sont utilisées pour décrypter et inspecter le trafic SSL/TLS.
- L'inspection entrante SSL déchiffre et inspecte le trafic SSL/TLS entrant d'un client vers un serveur réseau ciblé. Pour plus d'informations sur l'inspection entrante SSL, voir Inspection entrante SSL.
- Le proxy de transfert SSL déchiffre et inspecte le trafic SSL/TLS des utilisateurs internes vers le Web. Une seule clé secrète pour le transfert de proxy SSL est autorisée pour chaque stratégie de pare-feu. Pour plus d'informations sur le proxy de transfert SSL, reportez-vous à Proxy de transfert SSL.
Une fois que vous avez créé une stratégie de pare-feu, vous créez une clé secrète mise en correspondance pour la mettre en correspondance avec une clé SSL entrante ou sortante. Vous allez ensuite créer un profil de décryptage afin de contrôler la façon dont le proxy de transfert SSL et l'inspection entrante SSL effectuent les vérifications du mode de session, du serveur et des échecs.
Pour plus d'informations sur l'utilisation du certificat avec une stratégie de pare-feu, reportez-vous à Création et gestion de stratégies de pare-feu.
Tâche 1 : autoriser le service Network Firewall à accéder aux clés secrètes Vault
Créez une stratégie IAM pour permettre à la stratégie de pare-feu d'accéder aux clés secrètes Vault et de les utiliser.
Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy'} Allow any-user to read secret-family in compartment <compartment_ID> where ALL {request.principal.type='networkfirewallpolicy', request.principal.id='<Network Firewall Policy OCID>'}Si ce droit d'accès est révoqué ultérieurement, le pare-feu arrête de décrypter le trafic car le service ne pourra pas accéder à la clé secrète mise en correspondance.
Ces stratégies remplacent la stratégie en phase d'abandon permettant d'accéder aux clés secrètes Vault :
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name> Tâche 2 : créer un coffre et la clé maître pour stocker le certificat
- Créez un coffre dans lequel stocker le certificat.
- Créez une clé de cryptage maître dans le coffre.Important
La clé maître doit être une clé symétrique. Vous ne pouvez pas crypter des clés secrètes avec des clés symétriques.
Tâche 3 : stocker le certificat
Vous pouvez utiliser un certificat auto-signé ou signé par l'autorité de certification avec le service OCI Network Firewall.
- Le service Network Firewall valide le certificat fourni et le stocke dans la racine sécurisée. Pour valider le certificat, fournissez l'ensemble de la chaîne de certificat SSL, y compris le certificat racine et la clé privée des certificats intermédiaires. Téléchargez les certificats au format
.pemqui sont encapsulés dans le modèle.jsonsuivant. -
Si le certificat feuille spécifié dans
"certKeyPair"est un certificat de confiance, il doit disposer de la capacité de signature de l'autorité de certification. Définissez l'indicateurCAsur"true".Dans cet exemple, si"LEAF_CERT_01_PEM_CONTENT"est un certificat de confiance, son indicateurCAdoit être défini sur"true".{ "caCertOrderedList" : [ "ROOT_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT02_PEM_CONTENT", ], "certKeyPair": { "cert" : "LEAF_CERT_01_PEM_CONTENT", "key": "PRIVATE_KEY_01_PEM_CONTENT" } }
- Téléchargez et installez OpenSSL.
- Téléchargez et installez Perl.
- Téléchargez le script à partir du référentiel GitHub pour Oracle.
- Exécutez le script à l'aide de la commande suivante. Remplacez <test.test.com> par le nom DNS du serveur Web à protéger :
ou./create-certificate inbound <test.test.com>./create-certificate forward <test.test.com>
Tâche 4 : création de clés secrètes dans le coffre
Créez une clé secrète dans le coffre pour chaque certificat à utiliser.
- Ouvrez le menu de navigation, accédez à Identité et sécurité, puis sélectionnez Gestion des clés secrètes.
- Sélectionnez Créer une clé secrète.
- Sur la page Créer une clé secrète, sélectionnez le compartiment dans lequel créer la clé secrète. (Les clés secrètes peuvent exister en dehors du compartiment dans lequel se trouve le coffre.)
- Entrez un nom qui correspond au type de certificat contenu dans la clé secrète. Par exemple, "certificat-inspection-entrante-ssl."
- Saisissez une description (facultatif).
- Sélectionnez le coffre que vous avez créé dans Tâche 2 : créer une clé maître et un coffre pour stocker le certificat. Modifiez le compartiment de coffre selon vos besoins.
- Sélectionnez la clé du cryptage maître que vous venez de créer dans Tâche 2 : créer un coffre et la clé maître pour stocker le certificat. Modifiez le compartiment de clé de cryptage selon vos besoins.
- Indiquez Texte brut pour le format du contenu de la clé secrète.
- Copiez le contenu du certificat dans la zone de contenu Secret. (La taille maximale autorisée pour un groupe de clés secrètes est de 25 ko.)
- Sélectionnez Créer une clé secrète.
Exemple pour le contenu de la clé secrète créée avec des données masquées :
{
"caCertOrderedList" : [
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----",
"-----BEGIN CERTIFICATE-----\nxxxxxxxxxxx\n-----END CERTIFICATE-----"
],
"certKeyPair": {
"cert" : "-----BEGIN CERTIFICATE-----\nnxxxxxxxxxxx\n-----END CERTIFICATE-----",
"key": "-----BEGIN RSA PRIVATE KEY-----\this-is-not-the-secret\n-----END RSA PRIVATE KEY-----"
}
}