Configurando a Autenticação de Certificado
Saiba como configurar a autenticação de certificado e os segredos do Vault para uso na decriptografia do tráfego de rede.
Para usar regras de criptografia, é necessário configurar segredos mapeados para usar em um perfil de criptografia. Um segredo mapeado é um segredo que você cria no Oracle Cloud Infrastructure Vault e depois mapeia para uma chave SSL de entrada ou saída. Os segredos são usados para decriptografar e inspecionar o tráfego SSL/TLS com Proxy de Encaminhamento SSL ou Inspeção de Entrada SSL.
- Se você planeja usar o proxy de encaminhamento SSL ou a inspeção de entrada SSL, configure um Oracle Cloud Infrastructure Vault e os segredos antes de começar a criar uma política.
- Somente um segredo de proxy de encaminhamento SSL é permitido para cada política.
allow service ngfw-sp-prod to read secret-family in compartment <compartment_name>
Se essa permissão for revogada a qualquer momento no futuro, o serviço não poderá acessar o segredo mapeado e o firewall deixará de decriptografar o tráfego.
- Certifique-se de ter uma política do serviço IAM que permita criar vaults, chaves e segredos no serviço Vault. Por exemplo:
Para obter mais informações, consulte Detalhes do IAM para o Serviço Vault.Allow group SecurityAdmins to manage vaults in tenancy Allow group SecurityAdmins to manage keys in tenancy Allow group SecurityAdmins to manage secret-family in tenancy
- Crie um vault no qual o certificado será armazenado.
- Crie uma chave principal de criptografia no vault.Importante
A chave principal deve ser uma chave simétrica. Você não pode criptografar segredos com chaves assimétricas.
Você pode usar um certificado autoassinado ou assinado por uma autoridade de certificação com o Serviço Network Firewall do OCI.
- O serviço Network Firewall valida o certificado fornecido e o armazena na raiz de confiança. Para validar o certificado com sucesso, você deve fornecer toda a cadeia de certificados SSL (incluindo o certificado raiz de certificados intermediários e a chave privada). Faça upload de certificados no formato
.pem
que são encapsulados no modelo.json
a seguir. -
Se o certificado folha especificado em
"certKeyPair"
for um certificado de confiança futura, ele deverá ter a capacidade de Assinatura da Autoridade de Certificação. Defina o indicadorCA
como"true"
.Neste exemplo, se"LEAF_CERT_01_PEM_CONTENT"
for um certificado de confiança direta, seu flagCA
deverá ser definido como"true"
.{ "caCertOrderedList" : [ "ROOT_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT01_PEM_CONTENT", "INTERMEDIATE_CERT02_PEM_CONTENT", ], "certKeyPair": { "cert" : "LEAF_CERT_01_PEM_CONTENT", "key": "PRIVATE_KEY_01_PEM_CONTENT" } }
- Faça download do OpenSSL e instale-o.
- Faça download do Perl e instale-o.
- Faça download do script do repositório do Oracle GitHub.
- Execute o script usando o comando a seguir. Substitua <test.test.com> pelo nome DNS do servidor Web que você precisa proteger:
ou./create-certificate inbound <test.test.com>
./create-certificate forward <test.test.com>
Crie um segredo no vault para cada certificado que você deseja usar.
- Abra o menu de navegação, clique em Identidade e Segurança e, em seguida, clique em Vault.
- Em Escopo da Lista, na lista Compartimento, clique no nome do compartimento no qual você deseja criar um segredo.
-
Escolha o vault que você criou na Tarefa 2: Criar um vault e uma chave principal para armazenar o certificado.
- Clique em Segredos e em Criar Segredo.
- Na caixa de diálogo Criar Segredo, escolha um compartimento na lista Criar no Compartimento. (É possível haver segredos fora do compartimento no qual o vault reside.)
- Clique em Nome e informe um nome para identificar o segredo. Use um nome que corresponda ao tipo de certificado que o segredo contém. Por exemplo, "ssl-inbound-inspection-certificate."
- Clique em Descrição e informe uma breve descrição do segredo para ajudar a identificá-lo.
- Escolha a chave principal de criptografia que você criou na Tarefa 2: Criar um vault e uma chave principal para armazenar o certificado.
- Especifique o formato do conteúdo do segredo como Texto Simples.
- Clique em Conteúdo do Segredo e copie o conteúdo do certificado no campo. (O tamanho máximo permitido para um pacote de segredos é de 25 KB).
- Ao finalizar, clique em Criar Segredo.