11 SSL対応MySQLデータベースへのOracle GoldenGate Veridataの接続

サーバー証明書を介したサーバー認証の設定

1. ca.pemファイルをMySQLデータベース・サーバーからVeridataエージェント・マシンにコピーします。
2. Veridataエージェント・マシンでkeytoolコマンド($> keytool -importcert -alias <Set_Your_Alias> -file ca.pem -keystore truststore -storepass <Set_Your_Password>)を実行してca.pemファイルをインポートします。

   ノート:

   トラストストア・ファイルがまだない場合は、新規作成されます。そうでない場合は、証明書が既存のファイルに追加されます。
3. agent.propertiesファイル内のMySQL JDBC URLに、次の接続パラメータを追加します。MySQLバージョン8.0.12以前の場合は、database.url=jdbc:mysql://abc.com:3306?useSSL=true&verifyServerCertificate=trueです。MySQLバージョン8.0.13以降の場合は、 database.url=jdbc:mysql://abc.com:3306?sslMode=<VERIFY_CAまたはVERIFY_IDENTITY>です。
4. 次のようにjavaパラメータをエクスポートして、先ほど作成または変更したトラストストアを読み取ります。Export JAVA_OPTS="$JAVA_OPTS -Djavax.net.ssl.trustStore=<path_to_truststore_file> -Djavax.net.ssl.trustStorePassword=<your_truststore_password>"

クライアント証明書を介したクライアント認証の設定

1. client-cert.pemおよびclient-key.pemという2つのファイルをMySQLデータベース・サーバーからVeridataエージェント・マシンにコピーします。
2. Veridataエージェント・マシンでopensslコマンド($> openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -name "<Set_Your_name>" -passout pass:<Set_Your_Password> -out client-keystore.p12)を実行してクライアント・キーおよび証明書ファイルをPKCS #12アーカイブに変換します。
3. Veridataエージェント・マシンでkeytoolコマンド($> keytool -importkeystore -srckeystore client-keystore.p12 -srcstoretype pkcs12 -srcstorepass <Set_Your_Password> -destkeystore keystore -deststoretype JKS -deststorepass <Set_Your_Password>)を実行してそのPKCSファイルをインポートします。

   ノート:

   キーストア・ファイルがまだない場合は、新規作成されます。そうでない場合は、証明書が既存のファイルに追加されます。
   この手順の後に、そのPKCS #12アーカイブ(この例ではclient- keystore.p12)を削除できます。
4. 次のようにJavaパラメータをエクスポートして、先ほど作成または変更したキーストアを読み取ります。export JAVA_OPTS="$JAVA_OPTS -Djavax.net.ssl.keyStore=<path_to_keystore_file> -Djavax.net.ssl.keyStorePassword=<your_keystore_password>"
5. サーバー証明書を介した場合とは異なり、クライアント証明書を介した認証では、MySQL JDBC URLに接続パラメータは必要になりません。

双方向認証

サーバー証明書を介したサーバー認証の設定とクライアント証明書を介したクライアント認証の設定のトピックで説明した手順を適用します。