Certificati per Web Application Firewall

Descrive le modalità di aggiunta e gestione dei certificati con il criterio Web Application Firewall.

Per utilizzare SSL con il criterio WAF, è necessario aggiungere un bundle di certificati. Il bundle di certificati caricato include il certificato pubblico e la chiave privata corrispondente. I certificati autofirmati possono essere utilizzati per la comunicazione interna all'interno di Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure accetta solo certificati di terze parti e autofirmati in formato PEM. Di seguito è riportato un certificato con codifica PEM di esempio.


-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

Come ottenere certificati SSL di terze parti

È possibile acquistare un certificato SSL da un'autorità di certificazione sicura come Symantec, Thawte, RapidSSL o GeoTrust. L'emittente del certificato fornisce un certificato SSL che include un certificato, un certificato intermedio e una chiave privata. Utilizzare queste informazioni, incluso il certificato intermedio, quando si aggiunge un certificato SSL a Oracle Cloud Infrastructure.

Conversione in formato PEM

Se si ricevono certificati e chiavi in formati diversi da PEM, è necessario convertirli prima di poterli caricare nel sistema. È possibile utilizzare OpenSSL per convertire certificati e chiavi in formato PEM.

Caricamento delle catene di certificati

Se si dispone di più certificati che formano una singola catena di certificazione, è necessario includere tutti i certificati pertinenti in un unico file prima di caricarli nel sistema. Il seguente esempio di file della catena di certificati include quattro certificati:

Sottomissione di chiavi private

Se l'invio della chiave privata ha restituito un errore, il motivo più comune è che il formato della chiave privata è errato o il sistema non riconosce il metodo di cifratura utilizzato per la chiave.

Coerenza chiave privata

Se si riceve un errore relativo alla chiave privata, è possibile utilizzare OpenSSL per verificarne la coerenza:

openssl rsa -check -in <private_key>.pem

Questo comando verifica che la chiave sia intatta, che la passphrase sia corretta e che il file contenga una chiave privata RSA valida.

Decifrazione di una chiave privata

Se il sistema non riconosce la tecnologia di cifratura utilizzata per la chiave privata, decifrare la chiave. Caricare la versione non cifrata della chiave con il bundle di certificati. È possibile utilizzare OpenSSL per decifrare una chiave privata:

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

Suite di cifratura SSL supportate

Sono supportate le seguenti suite di cifratura SSL:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

Limitazioni

Considerare le seguenti limitazioni quando si aggiungono certificati SSL:

Ogni riga tranne l'ultima deve contenere esattamente 64 caratteri stampabili. La riga finale deve contenere al massimo 64 caratteri stampabili. L'editor di testo potrebbe salvarlo in modo diverso e potrebbe avere un numero diverso di caratteri per riga.
Per controllare il numero di caratteri per riga, utilizzare il comando seguente: awk '{ print length }' filename.pem

Impossibile aggiungere un certificato SSL per un altro dominio. Per il dominio principale è supportato un solo certificato per criterio WAF. Se si desidera applicare un certificato SSL per un dominio aggiuntivo, è necessario creare un criterio WAF separato.

Documentazione di Oracle Cloud Infrastructure