Enterprise Managerリポジトリとの通信にTLSv1.2プロトコルを有効化することにより、Oracle Management ServiceはTLSを使用してリポジトリとセキュアに通信して、通信トラフィックを暗号化し、Enterprise ManagerリポジトリがOracle Management Serviceに対して自身を認証できるようにします。
Enterprise Managerリポジトリとの通信にTLSv1.2を有効にするには、次の手順に従います。
手順1: Enterprise ManagerリポジトリにTLSv1.2を構成する
Oracle 11.2 RACでの構成例は、MOSノートID 1448841.1.を参照してください。
sqlnet.oraまたはlistener.oraファイルで、SSL_VERSIONパラメータを1.2に設定してTLSv1.2を構成します。
sqlnet.oraファイルで、SSL_CLIENT_AUTHENTICATIONパラメータをFALSEに設定します。
次の手順に進む前に、SQLPLUSおよびTCPS接続記述子を使用したSSL接続を作成して構成を確認します。
接続記述子が正しいことを確認するには、次のコマンドを実行して接続をテストします。
./sqlplus sysman/<sysman_pwd>@"(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA= (SID=<SID/SERVICE>)))"
注意:
TCPSを使用するようにOracle Management Service接続記述子が変更されるまで、TCPおよびTCPSリスナーの両方を稼動させることは重要です(手順2を参照)。手順2: TLSv1.2対応のEnterprise Managerリポジトリに接続するようにOracle Management Serviceを構成する
プライマリOracle Management Serviceから先に次の手順を実行し、同じ手順を繰返しながら残りのOracle Management Serviceを処理します。
データベース・サーバーのCA証明書をOracle Management ServiceのJDKトラストストアにインポートします。
$ORACLE_HOME/oracle_common/jdk/bin/keytool -importcert -file trustCert.pem -alias emreprootca -keystore $ORACLE_HOME/oracle_common/jdk/jre/lib/security/cacerts -storepass "changeit"
注意:
JDKトラストストアのパスワードは、changeitです。Oracle DBクライアントの本来の暗号化を無効にします。
<ORACLE_HOME>/gc_inst/em/EMGC_OMS<n>/emgc.properties
ファイルを編集して、次の行を追加します。 oracle.sysman.core.conn.enableEncryption=false
emctl set property -name "oracle.sysman.core.conn.enableEncryption" -value "false" -sysman_pwd sysman
TCPSのみを使用するように、接続記述子を変更します。
コマンドemctl config oms -list_repos_details
を使用して、既存の接続記述子を取得します
emctl config oms -store_repos_details -repos_user sysman -repos_pwd <SYSMAN_PWD> -repos_conndesc "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST= <REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA= (SID=<SID/SERVICE>)))"
<EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/jps-config.xml <EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/jps-config-jse.xml <EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/embi-policystoremerge-jpscfg.xml
TCPSのみを使用するように、サービスの接続記述子を変更します。
他のサービスがPing、イベント、ジョブおよびローダーなどのサブシステム用に作成されている場合、新しいTCPS構成の詳細を使用するように、接続記述子を変更します。
最初に、プライマリOracle Management Serviceで次を実行します。
emctl set property -name "oracle.sysman.core.omsAgentComm.ping.connectionService.connectDescriptor " -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=ping\)\)\)" -sysman_pwd <SYSMAN_PWD>
emctl set property -name "oracle.sysman.core.events.connectDescriptor" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=event\)\)\)" -sysman_pwd <SYSMAN_PWD>
emctl set property -name "oracle.sysman.core.jobs.conn.service" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=emjob\)\)\)" -sysman_pwd <SYSMAN_PWD>
emctl set property -name "oracle.sysman.core.pbs.gcloader.connectDescriptor" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=loader\)\)\)" -sysman_pwd <SYSMAN_PWD>
プライマリOracle Management Service上で手順2-1から2-4を実行した後、残りのすべてのOracle Management Serviceについてこれらの手順を繰り返します。
手順3: Enterprise Managerリポジトリ関連のターゲットにブラックアウトを構成する
ターゲットの構成が完了するまでアラートを抑制するには、Enterprise Managerリポジトリに関連したすべてのターゲット(oracle_database、oracle_emrep、oracle_omsおよびmetadata_repositoryターゲット・タイプ)をブラックアウトの下に配置します。
手順4: すべてのOracle Management Serviceをバウンスする
プライマリOracle Management Serviceから先に、すべてのOracle Management Serviceで次を実行します。
emctl stop oms –all
Enterprise Managerリポジトリのlistener.oraファイルでTCPリスナーを無効にし、TCPS接続のみを有効にするようにリスナーを再度バウンスします。
プライマリOracle Management Serviceを起動します。
emctl start oms
注意:
Oracle Management Serviceが起動しない場合、次のいずれかを実行する必要があります。
SQLNET.RECV_TIMEOUT=100000をデータベースのsqlnet.oraファイルに追加します。
または
データベース・パッチ20544797を適用します(推奨される方法)。
プライマリOracle Management Serviceの起動後、残りのOracle Management Serviceを1つずつ起動します。
手順5: Enterprise Managerリポジトリをモニターするエージェントを再構成する
target.xmlファイルにターゲットの管理サービスおよびリポジトリを配置することにより、管理リポジトリをモニターしているプライマリOracle Management Serviceのセントラル・エージェントを再構成します。リポジトリにRACが構成されている場合、Enterprise Managerリポジトリのホスト・エージェントも配置する必要があります。
<AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStoreLocation -value <...>/client/wallet/ewallet.p12 <AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStorePassword -value <…>
<AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStoreType -value PKCS12
管理リポジトリをモニターしているプライマリOracle Management Serviceのセントラル・エージェントのホーム・ディレクトリ内に、次のディレクトリにあるsqlnet.ora構成ファイルを配置します。
AGENT_HOME/network/admin (UNIX)
AGENT_HOME\network\admin (Windows)
SSL_CLIENT_AUTHENTICATION = FALSE
SSL_VERSION = 1.2
WALLET_LOCATION = (SOURCE =
(METHOD = FILE) (METHOD_DATA =
(DIRECTORY = <...>/client/wallet ) )
)
この手順で変更したエージェントをバウンスします。
手順6: Enterprise Managerリポジトリ接続を参照するターゲットを再構成する
Enterprise ManagerリポジトリをモニターするプライマリOracle Management Serviceのセントラル・エージェントのターゲットXMLでリポジトリ接続を参照するターゲットを特定します。また、ローカルの物理ホスト・エージェントがEnterprise Managerリポジトリのホストにデプロイされている場合、そのエージェントのターゲットXMLにあるターゲットも特定します。
emcli modify_target -name="<Target Name>" -type="<target_type>" -properties="<Property>:<Property Value>;<Property>:<Property Value>" -on_agent
注意:
エージェントのtargets.xmlファイルから収集したtarget_name、target_type、プロパティおよびプロパティ値の書式を使用していることを確認してください。例:
emcli modify_target -name="database1.mycompany.com" -type="oracle_database" -properties="Port:<TCPS_PORT>;Protocol:TCPS" -on_agent
emcli modify_target -name="Management Services and Repository" -type="oracle_emrep" -properties="ConnectDescriptor:(DESCRIPTION=(ADDRESS_LIST=(ADDRESS= (PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_ PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent
emcli modify_target -name="primary_oms.mycompany.com:4889_Management_Service" -type="oracle_oms" -properties="ConnectDescriptor:(DESCRIPTION=(ADDRESS_LIST=(ADDRESS= (PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_ PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent
emcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-owsm" -type="metadata_repository" -properties="JdbcUrl|jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADD RESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=< TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent -subseparator=properties="|"
emcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-sysman_mds" -type="metadata_repository" -properties="DatabaseName:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=( PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_P ORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent
手順7: 管理リポジトリに関連したターゲットのブラックアウトを終了する
Enterprise Managerリポジトリに関連したターゲットをブラックアウトから除外して、ターゲットのステータスがEnterprise Managerコンソールで「ターゲット起動」になっていることを確認します。