Webアプリケーション・ファイアウォールの証明書

サードパーティSSL証明書の取得

SSL証明書は、信頼できる認証局(Symantec、Thawte、RapidSSL、GeoTrustなど)から購入できます。証明書発行者は、証明書、中間証明書および秘密キーを含むSSL証明書を提供します。SSL証明書をOracle Cloud Infrastructureに追加する際には、中間証明書を含むこの情報を使用します。

PEM形式への変換

PEM以外の形式の証明書とキーを受け取った場合は、システムにアップロードする前に、それを変換する必要があります。証明書とキーをPEM形式に変換するには、OpenSSLを使用できます。

証明書チェーンのアップロード

1つの証明チェーンを構成する証明書が複数ある場合は、関連するすべての証明書を1つのファイルに含めてから、システムにアップロードする必要があります。次の証明書チェーン・ファイルの例には、4つの証明書が含まれています:

-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----

秘密キーの送信

秘密キーの送信でエラーが返される場合、最も一般的な理由は、秘密キーが不正であるか、キーに使用されている暗号化方式がシステムで認識されないことです。

秘密キーの整合性

秘密キーに関連するエラーが発生した場合は、OpenSSLを使用してその整合性をチェックできます:

openssl rsa -check -in <private_key>.pem

このコマンドにより、キーが変更されていないこと、パスフレーズが正しいこと、およびファイルに有効なRSA秘密キーが含まれていることが確認されます。

秘密キーの復号化

秘密キーに使用されている暗号化テクノロジがシステムで認識されない場合は、キーを復号化します。暗号化されていないバージョンのキーを証明書バンドルとともにアップロードします。OpenSSLを使用して秘密キーを復号化できます:

openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pem

サポートされているSSL暗号スイート

次のSSL暗号スイートがサポートされています:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256

制限