Überprüfen des Systems auf Schutz durch eine Firewall mit TLS-Inspektion (On-Premises)

In diesem Artikel erfahren Sie, wie Sie herausfinden, ob sich Ihr lokales (on-premises) edoc platform-System durch eine Firewall mit TLS-Inspektion (SSL-Inspektion) geschützt wird.
Diese besondere Art von Firewall entschlüsselt den TLS-Verkehr, bewertet den Inhalt und verschlüsselt es wieder mit einem anderen Zertifikat.

Die Kommunikation zu bestimmten Domänen (Domains) bzw. Internetdiensten muss von dieser Verschlüsselung ausgeschlossen werden. Wir stellen auf diese Weise sicher, dass edoc platform ordnungsgemäß mit anderen Systemen kommunizieren kann und die benötigten Ressourcen bereit gestellt werden können.

Eine Übersicht zu den Internetdiensten, die freigeschaltet werden müssen, finden Sie hier: Aktive Firewall - Freischalten von Internetdiensten für edoc platform (On-Premises)

Details zum Skript und der Überprüfung

Auf jedem edoc platform-System wird das folgende Skript ausgeliefert:

/opt/agent/scripts/test_fw_ssl_tar.sh

Wenn Sie einen Aufruf ohne Parameter verwenden, werden die Zertifikataussteller der drei Domänen geprüft: sc.edoc.de, k8s.gcr.io, registry.k8s.io

sudo /opt/agent/scripts/test_fw_ssl_tar.sh 

Wenn das edoc platform-System nicht durch eine Firewall mit TLS-Inspektion geschützt wird oder die Firewall korrekt konfiguriert wurde, erhalten Sie folgende Ausgabe:

Trying to get certificate from registry.k8s.io
✅ SSL certificate from registry.k8s.io matches the expected issuer. Likely not behind SSL inspection.
Trying to get certificate from sc.edoc.de
✅ SSL certificate from sc.edoc.de matches the expected issuer. Likely not behind SSL inspection.
Trying to get certificate from k8s.gcr.io
✅ SSL certificate from k8s.gcr.io matches the expected issuer. Likely not behind SSL inspection.

Mit dem Parameter -i wird zusätzlich das Container-Image registry.k8s.io/pause:latest heruntergeladen und geprüft:

sudo /opt/agent/scripts/test_fw_ssl_tar.sh -i

Statt des Pause-Images in Kubernetes können Sie ein anderes Image nach dem Parameter -i angeben:

sudo /opt/agent/scripts/test_fw_ssl_tar.sh -i $IMAGE_URL

Eine Übersicht und Hilfe zu den Befehlen des Skripts erhalten Sie mit folgenden Befehl:

sudo /opt/agent/scripts/test_fw_ssl_tar.sh -h

Usage: ./test_fw_ssl_tar.sh [-d domain] [-i image_url]
  -d domain        The domain to check for SSL certificate (optional, default: sc.edoc.de)
  -i image_url     The image URL to download (optional, default: registry.k8s.io/pause:latest if -i is used without a value)