【公测】TLS检查

TLS检测策略配置

在TLS检查功能页列表上方单击创建TLS检查策略按钮，右侧弹出创建TLS检查策略抽屉窗口。

1. 创建策略。

   配置项	操作图
   策略名称：TLS检查策略名称，长度2-256个字节，且不能包括!@#$%^&*()+=~`{}[]|\/:'"<>?;等特殊符号，首尾不能包含空格。
   关联TLS证书：选择一个已经创建好的证书。 说明 首次创建策略时，证书选择下拉框下会显示申请试用证书，点击可自动创建测试证书，以快速体验TLS检查功能。 试用证书只能试用一次，生产环境使用时建议购买并启用私有的证书。 目前仅支持PCA证书，限制如下： PCA证书用途请选择企业对内使用。 不支持国密算法证书。 RSA私钥算法长度需要大于等于2048。 ECC私钥算法请选择256。 如没有可选择证书，可单击购买证书直接跳转至证书管理控制台进行购买，注意PCA证书用途请选择企业对内使用，有关证书的详细信息，请参见PCA证书管理。
   证书有效期：选择证书后会显示证书有效期，且在有效期少于一年时会强提醒。建议定时检查证书，确保有效期在一年以上。
   描述：策略描述，长度0-256个字符且不能包括!@#$%^&*()+=~`{}[]|\/:'"<>?;等特殊字符，首尾不能包含空格。 此项非必填可以为空。

   填写所有配置项后单击下一步可进入配置检查范围步骤，注意此步骤完成后策略已经创建并保存。

2. 配置检查范围。

   重要

   • 所有检查范围规格上限数为20000。

   • 单条TLS检查策略占用规格数：该条策略中所有检查范围所占规格之和。

   • 单条检查范围占用规格数 = 源IP个数 * 源端口段个数 * 目的IP个数 * 目的端口段个数。

   配置和操作项	操作图
   协议类型：需要检测的加密流量协议。 目前仅支持TCP协议。
   源IP：需要检查的出向流量主机的IP，单击选择按钮可在弹出对话框中选择对应资产。 说明 目前支持的资产类型：ECS EIP、ECS 公网IP、NAT EIP、EIP、ENI EIP。 如上图所示，已经配置检查策略的资产不能被选中，资产可以多选，最多选择1000个。 选中需要检查的资产单击确定即可。
   源端口：选中资产的检查端口，格式为开始端口/结束端口，端口取值0-65535，多个端口范围之间用英文逗号分割，最多支持100个范围对象。 说明 所有端口均以范围形式表示，即使只有一个端口。比如：8080/8080，表示仅检查8080端口。 检查所有端口请使用0/65535。
   目的IP：源IP资产访问目的服务的IP。 说明 需使用标准掩码格式的IPv4地址或地址段，如：192.0.2.0/24,8.8.8.8/32。 可输入多个IP地址段，每个IP地址对象用英文逗号隔开， 最多可以支持100个IP对象。 如需表示所有地址，请使用0.0.0.0/0。
   目的端口：源IP资产访问目的服务的端口，格式为开始端口/结束端口，端口取值范围0-65535。多个端口范围之间用英文逗号分割，最多支持100个范围对象。 说明 所有端口均以范围形式表示，即使只有一个端口。比如：8080/8080，表示仅检查8080端口。 检查所有端口请使用0/65535。
   描述：检查范围描述，长度0-256个字节且不能包括!@#$%^&*()+=~`{}[]|\/:'"<>?;等特殊字符，首尾不能包含空格。 此项非必填可以为空。
   检查范围操作： 保存：单击加密流量检查范围折叠框下方的保存按钮，可直接保存检查范围，不需要点击下一步。保存成功后，折叠框右上方会提示已保存。 增加：单击增加一组检查范围，可新增检查范围，一条策略中最多增加10组检查范围。 删除：单击加密流量检查范围折叠框右上角的，确认后可删除当前检查范围。删除与保存相同，确认后直接删除，不需要点击下一步，请谨慎操作数据。

   填写所有配置项后单击下一步完成策略配置。

3. 检查策略信息。

   策略配置完成后会显示配置的策略和检查范围的详细信息。

   信息中展示的策略ID会展示在日志中。

   

TLS证书安装

创建TLS检查策略后需要将关联的证书安装到对应检查的资产主机上。

1. 下载证书。

   

   在TLS检查策略配置列表中，找到创建好的策略，在右侧操作列中单击证书下载，将证书下载到本地并解压得到证书文件（.crt后缀）。

2. 登录选择的源IP主机。

   登录创建加密流量检查范围时选择的源IP主机。并将证书上传至主机任意目录。

3. 安装证书。

   切换到证书上传的目录，将证书拷贝到对应系统的信任目录，并执行更新命令，不同操作系统步骤如下：

   说明

   • 如果TLS策略中关联了子CA证书，需要根CA和子CA同时安装。

   • 以下示例只是针对信任目录为系统信任目录的场景，如果业务的证书信任目录是其他的场景，需要根据实际情况安装到信任库中。

   Ubuntu

   1. 拷贝证书文件：cp <证书文件名> /usr/local/share/ca-certificates/

   2. 更新证书：sudo update-ca-certificates

   3. 查看更新后的证书：cat /etc/ssl/certs/ca-certificates.crt

      出现证书内容即代表证书安装成功。

      

   CentOS/Alibaba Cloud Linux/Anolis/Redhat

   1. 拷贝证书文件：cp <证书文件名> /etc/pki/ca-trust/source/anchors/

   2. 更新证书：sudo update-ca-trust

   3. 查看更新后的证书：cat /etc/ssl/certs/ca-bundle.crt

      出现证书内容即代表证书安装成功。

      

   SUSE

   1. 拷贝证书文件：cp <证书文件名> /etc/pki/trust/anchors

   2. 更新证书：sudo c_rehash .

   3. 查看更新后的证书：sudo trust list --filter=ca-anchors |grep -C 2 <证书CN>

      出现证书信息即代表证书安装成功。

      

   Fedora /Fedora CoreOS

   1. 拷贝证书文件：sudo cp <证书文件名> /etc/pki/ca-trust/source/anchors/

   2. 更新证书：sudo update-ca-trust extract

   3. 查看更新后的证书：sudo trust list --filter=ca-anchors |grep -C 2 <证书CN>

      出现证书信息即代表证书安装成功。

      

   Windows

   重要

   • 对于引用的是子CA(中间CA)的场景，Window原生的证书管理器安装的时候，不会将一个文件中包含多个CA证书链的内容一次性安装，只会安装第一个CA内容。对于此种场景，需要手动将每个CA内容（-----BEGIN CERTIFICATE----- 块）拆分成多个文件，然后逐个安装。

   • 拆分证书，将下载解压后的证书文件使用文本编辑器打开，将证书中的-----BEGIN CERTIFICATE-----~-----END CERTIFICATE-----块内容，剪切到新建文件中，并将文件更名为.crt结尾即可。

     

     拆分后：

   1. 安装证书：右键单击证书文件，在弹出菜单中单击安装证书，按下列步骤安装：

      1	2	3

      完成上述步骤后点击下一步完成证书导入。

   2. 查看证书：cmd命令行中输入certmgr.msc打开证书管理器。

      

开启检查和查询流量日志

1. 开启策略检查。

   重要

   开启TLS检查时，新建连接约1分钟后开始生效保护，存量长连接不会生效且不会保护。

   对已开启保护且开启TLS检查的EIP，当关闭TLS检查时，长连接会中断，中断时间取决于业务重连时长。

   

   在TLS检查功能页可以查看已经创建成功的策略列表，单击启用状态开关即可启用TLS检查策略。开启后云防火墙可根据配置检测出向流量的加密内容。

   说明

   策略只有未启用状态才能删除。

2. 查询流量日志。

   检查主机产生流量后，云防火墙控制台在左侧导航栏，选择日志分析 > 日志分析。

   在流量日志 > 互联网边界防火墙页签可查询到对应主机产生的流量，其中包含了命中的TLS检查策略和范围。

   日志中会显示策略和检查范围的ID。