Documentação do Oracle Cloud Infrastructure

Configurando a Autenticação de Certificado

Saiba como configurar a autenticação de certificado e os segredos do Vault para uso na decriptografia do tráfego de rede.

Para usar regras de criptografia, é necessário configurar segredos mapeados para usar em um perfil de criptografia. Um segredo mapeado é um segredo que você cria no Oracle Cloud Infrastructure Vault e depois mapeia para uma chave SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com Proxy de Encaminhamento SSL ou Inspeção de Entrada SSL.

Consulte Segredos Mapeados e Perfis de Decriptografia para obter mais informações sobre como o certificado é usado com uma política.
Importante

  • Se você planeja usar o proxy de encaminhamento SSL ou a inspeção de entrada SSL, configure um Oracle Cloud Infrastructure Vault e os segredos antes de começar a criar uma política.
  • Somente um segredo de proxy de encaminhamento SSL é permitido para cada política.
Tarefa 1: Permitir que o serviço Network Firewall acesse segredos do Vault
Crie uma política do serviço IAM que permita ao serviço Network Firewall acessar e usar segredos do Vault:
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>
Advertência

Se essa permissão for revogada a qualquer momento no futuro, o serviço não poderá acessar o segredo mapeado e o firewall deixará de decriptografar o tráfego.
Tarefa 2: Criar um vault e uma chave principal para armazenar o certificado
  1. Certifique-se de ter uma política do serviço IAM que permita criar vaults, chaves e segredos no serviço Vault. Por exemplo:
    Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
    Para obter mais informações, consulte Detalhes do IAM para o Serviço Vault.
  2. Crie um vault no qual o certificado será armazenado.
  3. Crie uma chave principal de criptografia no vault.
    Importante

    A chave principal deve ser uma chave simétrica. Você não pode criptografar segredos com chaves assimétricas.
Tarefa 3: Armazenar o certificado

Você pode usar um certificado autoassinado ou assinado por uma autoridade de certificação com o Serviço Network Firewall do OCI.

A Oracle fornece um script que você pode usar para gerar um certificado autoassinado.
Importante

  • O serviço Network Firewall valida o certificado fornecido e o armazena na raiz de confiança. Para validar o certificado com sucesso, você deve fornecer toda a cadeia de certificados SSL (incluindo o certificado raiz de certificados intermediários e a chave privada). Faça upload de certificados no formato .pem que são encapsulados no modelo .json a seguir.

  • Se o certificado folha especificado em "certKeyPair" for um certificado de confiança futura, ele deverá ter a capacidade de Assinatura da Autoridade de Certificação. Defina o indicador CA como "true".

    Neste exemplo, se "LEAF_CERT_01_PEM_CONTENT" for um certificado de confiança direta, seu flag CA deverá ser definido como "true". 
    {
  "caCertOrderedList" : [
    "ROOT_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT01_PEM_CONTENT",
    "INTERMEDIATE_CERT02_PEM_CONTENT",
  ],
  "certKeyPair": {
    "cert" : "LEAF_CERT_01_PEM_CONTENT",
    "key":   "PRIVATE_KEY_01_PEM_CONTENT"
  }
}
Para usar um certificado OpenSSL autoassinado, você pode usar um script fornecido pela Oracle para criar um:
  1. Faça download do OpenSSL e instale-o.
  2. Faça download do Perl e instale-o.
  3. Faça download do script do repositório do Oracle GitHub.
  4. Execute o script usando o comando a seguir. Substitua <test.test.com> pelo nome DNS do servidor Web que você precisa proteger: 
    ./create-certificate inbound <test.test.com>
    ou 
    ./create-certificate forward <test.test.com>
Tarefa 4: Criar segredos no vault

Crie um segredo no vault para cada certificado que você deseja usar.

  1. Abra o menu de navegação, clique em Identidade e Segurança e, em seguida, clique em Vault.
  2. Em Escopo da Lista, na lista Compartimento, clique no nome do compartimento no qual você deseja criar um segredo.

  3. Escolha o vault que você criou na Tarefa 2: Criar um vault e uma chave principal para armazenar o certificado.

  4. Clique em Segredos e em Criar Segredo.
  5. Na caixa de diálogo Criar Segredo, escolha um compartimento na lista Criar no Compartimento. (É possível haver segredos fora do compartimento no qual o vault reside.)
  6. Clique em Nome e informe um nome para identificar o segredo. Use um nome que corresponda ao tipo de certificado que o segredo contém. Por exemplo, "ssl-inbound-inspection-certificate."
  7. Clique em Descrição e informe uma breve descrição do segredo para ajudar a identificá-lo.
  8. Escolha a chave principal de criptografia que você criou na Tarefa 2: Criar um vault e uma chave principal para armazenar o certificado.
  9. Especifique o formato do conteúdo do segredo como Texto Simples.
  10. Clique em Conteúdo do Segredo e copie o conteúdo do certificado no campo. (O tamanho máximo permitido para um pacote de segredos é de 25 KB).
  11. Ao finalizar, clique em Criar Segredo.