Certificados para o Serviço Web Application Firewall
Descreve como os certificados são adicionados e gerenciados com a política de firewall de aplicativo web.
Para usar SSL com sua política de WAF, adicione um pacote de certificados. O pacote de certificados do qual você faz upload inclui o certificado público e a chave privada correspondente. Os certificados autoassinados podem ser usados para comunicação interna no Oracle Cloud Infrastructure.
O Oracle Cloud Infrastructure aceita certificados de terceiros e autoassinados apenas no formato PEM. Este é um exemplo de certificado codificado no formato PEM:
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----Obtendo Certificados SSL de Terceiros
Você pode adquirir um certificado SSL de uma Autoridade de Certificação confiável, como Symantec, Thawte, RapidSSL ou GeoTrust. O emissor do certificado fornece um certificado SSL que inclui um certificado, um certificado intermediário e a chave privada. Use essas informações, incluindo o certificado intermediário, ao adicionar um certificado SSL ao Oracle Cloud Infrastructure.
Convertendo para o Formato PEM
Se você receber seus certificados e chaves em formatos diferentes do PEM, converta-os para que possa fazer upload deles para o sistema. Você pode usar o OpenSSL para converter certificados e chaves para o formato PEM.
Upload de Cadeias de Certificados
Se você tiver vários certificados que formam uma única cadeia de certificação, deverá incluir todos os certificados relevantes em um arquivo antes de fazer upload deles para o sistema. O seguinte exemplo de arquivo de cadeia de certificados inclui quatro certificados:
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----Submetendo Chaves Privadas
Se sua submissão de chave privada retornar um erro, os motivos mais comuns são a má formação da sua chave privada ou o sistema não reconhece o método de criptografia usado para sua chave.
Consistência de Chave Privada
Se você receber um erro relacionado à chave privada, poderá usar o OpenSSL para verificar sua consistência:
openssl rsa -check -in <private_key>.pemEsse comando verifica se a chave está intacta, se a frase-senha está correta e se o arquivo contém uma chave privada RSA válida.
Decriptografando uma chave Privada
Se o sistema não reconhecer a tecnologia de criptografia usada para sua chave privada, decriptografe a chave. Faça upload da versão não criptografada da chave com seu pacote de certificados. Você pode usar o OpenSSL para decriptografar uma chave privada:
openssl rsa -in <private_key>.pem -out <decrypted_private_key>.pemConjuntos de Criptogramas SSL Suportados
As seguintes suítes de cifragem SSL são suportadas:
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-CCM8
ECDHE-ECDSA-AES256-CCM
ECDHE-ECDSA-AES128-CCM8
ECDHE-ECDSA-AES128-CCM
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CCM8
DHE-RSA-AES256-CCM
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CCM8
DHE-RSA-AES128-CCM
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256Limitações
- Cada linha, exceto a última, deve conter exatamente 64 caracteres imprimíveis. A linha final deve conter 64 caracteres imprimíveis ou menos. O editor de texto pode salvá-lo de maneira diferente e pode ter um número diferente de caracteres por linha.
- Para verificar o número de caracteres por linha, use o seguinte comando:
awk '{ print length }' filename.pem
- Não é possível adicionar um certificado SSL a outro domínio. Somente um certificado por política de WAF é suportado para o domínio principal. Se quiser aplicar um certificado SSL a um domínio extra, crie uma política de WAF separada para ele.