Skip to main content
Skip table of contents

Überprüfen des Systems auf Schutz durch eine Firewall mit TLS-Inspektion (On-Premises)

In diesem Artikel erfahren Sie, wie Sie herausfinden, ob sich Ihr lokales (on-premises) edoc platform-System durch eine Firewall mit TLS-Inspektion (SSL-Inspektion) geschützt wird.
Diese besondere Art von Firewall entschlüsselt den TLS-Verkehr, bewertet den Inhalt und verschlüsselt es wieder mit einem anderen Zertifikat.

Die Kommunikation zu bestimmten Domänen (Domains) bzw. Internetdiensten muss von dieser Verschlüsselung ausgeschlossen werden. Wir stellen auf diese Weise sicher, dass edoc platform ordnungsgemäß mit anderen Systemen kommunizieren kann und die benötigten Ressourcen bereit gestellt werden können.

Eine Übersicht zu den Internetdiensten, die freigeschaltet werden müssen, finden Sie hier: Aktive Firewall - Freischalten von Internetdiensten für edoc platform (On-Premises)

Details zum Skript und der Überprüfung

Auf jedem edoc platform-System wird das folgende Skript ausgeliefert:

CODE
/opt/agent/scripts/test_fw_ssl_tar.sh

Wenn Sie einen Aufruf ohne Parameter verwenden, werden die Zertifikataussteller der drei Domänen geprüft: sc.edoc.de, k8s.gcr.io, registry.k8s.io

CODE
sudo /opt/agent/scripts/test_fw_ssl_tar.sh 

Wenn das edoc platform-System nicht durch eine Firewall mit TLS-Inspektion geschützt wird oder die Firewall korrekt konfiguriert wurde, erhalten Sie folgende Ausgabe:

CODE
Trying to get certificate from registry.k8s.io
✅ SSL certificate from registry.k8s.io matches the expected issuer. Likely not behind SSL inspection.
Trying to get certificate from sc.edoc.de
✅ SSL certificate from sc.edoc.de matches the expected issuer. Likely not behind SSL inspection.
Trying to get certificate from k8s.gcr.io
✅ SSL certificate from k8s.gcr.io matches the expected issuer. Likely not behind SSL inspection.

Mit dem Parameter -i wird zusätzlich das Container-Image registry.k8s.io/pause:latest heruntergeladen und geprüft:

CODE
sudo /opt/agent/scripts/test_fw_ssl_tar.sh -i

Statt des Pause-Images in Kubernetes können Sie ein anderes Image nach dem Parameter -i angeben:

CODE
sudo /opt/agent/scripts/test_fw_ssl_tar.sh -i $IMAGE_URL

Eine Übersicht und Hilfe zu den Befehlen des Skripts erhalten Sie mit folgenden Befehl:

CODE
sudo /opt/agent/scripts/test_fw_ssl_tar.sh -h
CODE
Usage: ./test_fw_ssl_tar.sh [-d domain] [-i image_url]
  -d domain        The domain to check for SSL certificate (optional, default: sc.edoc.de)
  -i image_url     The image URL to download (optional, default: registry.k8s.io/pause:latest if -i is used without a value)

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.