E Enterprise Managerリポジトリとの通信用のTLSv1.2の構成
Enterprise Managerリポジトリとの通信にTLSv1.2プロトコルを有効化することにより、Oracle Management ServiceはTLSを使用してリポジトリとセキュアに通信して、通信トラフィックを暗号化し、Enterprise ManagerリポジトリがOracle Management Serviceに対して自身を認証できるようにします。リリース更新08以降、Enterprise Managerでは、一方向または双方向SSL構成データベースがサポートされています。
- 一方向SSL: 一方向SSLでは、クライアントのみがサーバー証明書を検証して、中間者攻撃ではなく、意図したサーバーからデータを受信することを確認します。
- 双方向SSL: 双方向SSLでは、クライアントとサーバーの両方が相互に認証し、通信に関与する両者が信頼されていることを確認します。両者が公開証明書を相互に共有し、検証が実行されます。
Enterprise Managerリポジトリとの通信にTLSv1.2を有効にするには、次のステップに従います。
ノート:
サポートされているウォレット形式はPKCS12のみです。ステップ1: Enterprise ManagerリポジトリにTLSv1.2を構成する
-
拡張ネットワーク・オプション - バージョン11.2.0.1以降およびOracle Net Services - バージョン12.2.1.2.0以降の構成例については、MOSノートID 1448841.1を参照してください。詳細は、トランスポート・レイヤー・セキュリティ認証の構成に関する項を参照してください
-
sqlnet.oraおよびlistener.oraファイルで、SSL_VERSIONパラメータを1.2に設定してTLSv1.2を構成します。
-
sqlnet.oraファイルで、SSL_CLIENT_AUTHENTICATIONパラメータをFALSEに設定します。
ノート:
一方向SSL構成の場合、SSL_CLIENT_AUTHENTICATIONパラメータはFALSEに設定されます。双方向SSL構成の場合、SSL_CLIENT_AUTHENTICATIONパラメータはTRUEに設定されます。 - sqlnet.oraおよびlistener.oraファイルの
WALLET_LOCATIONを更新します。WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = C:\new135wallet\client\wallet))) -
次のステップに進む前に、SQLPLUSおよびTCPS接続記述子を使用したSSL接続を作成して構成を確認します。
接続記述子が正しいことを確認するには、次のコマンドを実行して接続をテストします。
./sqlplus sysman/<sysman_pwd>@"(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA= (SID=<SID/SERVICE>)))"
ノート:
TCPSを使用するようにOracle Management Service接続記述子が変更されるまで、TCPおよびTCPSリスナーの両方を稼動させることは重要です(ステップ2を参照)。ステップ2: Enterprise Managerリポジトリ関連のターゲットにブラックアウトを構成する
ターゲットの構成が完了するまでアラートを抑制するには、Enterprise Managerリポジトリに関連したすべてのターゲット(oracle_database、oracle_emrep、oracle_omsおよびmetadata_repositoryターゲット・タイプ)をブラックアウトの下に配置します。
ステップ3: TLSv1.2対応のEnterprise Managerリポジトリに接続するようにOracle Management Serviceを構成する
プライマリOracle Management Serviceから先に次のステップを実行し、同じステップを繰返しながら残りのOracle Management Serviceを処理します。
-
TCPSのみを使用するように、接続記述子を変更します。
コマンド
emctl config oms -list_repos_detailsを使用して、既存の接続記述子を取得します変更したTCPSプロトコルおよびポートを使用して、次を実行します。emctl config oms -store_repos_details -repos_conndesc <connect descriptor> -repos_user <username> [-repos_pwd <pwd>] -repos_truststore <truststore file> [-repos_truststore_pwd <pwd>] [-repos_truststore_type <type>] [-repos_keystore <keystore file>] [-repos_keystore_pwd <pwd>] [-repos_keystore_type <type>]データベースの構成方法(一方向SSLまたは双方向SSLの使用)に応じて、様々なコマンドを実行する必要があります。
ノート:
複数OMSの場合、他のすべての追加OMSで前述のステップを実行します。-
データベースが一方向SSL (
SSL_CLIENT_AUTHENTICATION=FALSE)で構成されている場合は、OMSホストから次を実行します。$MW_HOME/bin/emctl config oms -store_repos_details -repos_user sysman -repos_pwd <sysman password> -repos_conndesc " <DB CONNECT STRING with TCPS port> " -repos_truststore <truststore file path> -repos_truststore_pwd <password> -repos_truststore_type PKCS12例:
$MW_HOME/bin/emctl config oms -store_repos_details -repos_user sysman -repos_pwd password -repos_conndesc "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.us.example.com)(PORT=7777)))(CONNECT_DATA=(SID=orcln1)))" -repos_truststore /scratch/new135wallet/truststore/wallet/ewallet.p12 -repos_truststore_pwd password -repos_truststore_type PKCS12 -
データベースが双方向SSL (
SSL_CLIENT_AUTHENTICATION=TRUE)で構成されている場合は、OMSボックスから次を実行します。$MW_HOME/bin/emctl config oms -store_repos_details -repos_user sysman -repos_pwd <sysman password> -repos_conndesc " <DB CONNECT STRING with TCPS port> " -repos_truststore <truststore file path> -repos_truststore_pwd password -repos_truststore_type <truststore_type> -repos_keystore <keystore file path> -repos_keystore_pwd password -repos_keystore_type PKCS12例:
$MW_HOME/bin/emctl config oms -store_repos_details -repos_user sysman -repos_pwd password repos_conndesc "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.us.example.com)(PORT=7777)))(CONNECT_DATA=(SID=orcln1)))" -repos_truststore /scratch/new135wallet/truststore/wallet/ewallet.p12 -repos_truststore_pwd password -repos_truststore_type PKCS12 -repos_keystore /scratch/new135wallet/client/wallet/ewallet.p12 -repos_keystore_pwd password -repos_keystore_type PKCS12
-
-
1回のみ実行する必要があるTCPSのみを使用するように、サービスの接続記述子を変更します。
ノート:
リポジトリ・データベースがRACとして使用され、サブシステム用のサービスが作成されている場合は、TCPS構成を使用するように接続記述子を変更します。EMサイジング・ガイドラインの詳細は、EMデプロイメントのサイジングに関する項を参照してください。他のサービスがPing、イベント、ジョブおよびローダーなどのサブシステム用に作成されている場合、新しいTCPS構成の詳細を使用するように、接続記述子を変更します。
最初に、プライマリOracle Management Serviceで次を実行します。
-
Pingサブシステム接続記述子の場合、次のコマンドを実行して、値が設定されていることを確認します:
emctl get property -name "oracle.sysman.core.omsAgentComm.ping.connectionService.connectDescriptor"値がすでに設定されている場合は、次のコマンドを実行して、新しい接続記述子を設定します:
emctl set property -name "oracle.sysman.core.omsAgentComm.ping.connectionService.connectDescriptor " -value "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SERVICE_NAME=ping)))" -
イベント・サブシステム接続記述子の場合、次のコマンドを実行して、値が設定されていることを確認します:
emctl get property -name "oracle.sysman.core.events.connectDescriptor"値がすでに設定されている場合は、次のコマンドを実行して、新しい接続記述子を設定します:
emctl set property -name "oracle.sysman.core.events.connectDescriptor" -value "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SERVICE_NAME=event)))" -
ジョブ・サブシステム接続記述子の場合、次のコマンドを実行して、値が設定されていることを確認します:
emctl get property -name "oracle.sysman.core.jobs.conn.service"値がすでに設定されている場合は、次のコマンドを実行して、新しい接続記述子を設定します:
emctl set property -name "oracle.sysman.core.jobs.conn.service" -value "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SERVICE_NAME=emjob)))" -
ローダー・サブシステム接続記述子の場合、次のコマンドを実行して、値が設定されていることを確認します:
emctl get property -name "oracle.sysman.core.pbs.gcloader.connectDescriptor"値がすでに設定されている場合は、次のコマンドを実行して、新しい接続記述子を設定します:
emctl set property -name "oracle.sysman.core.pbs.gcloader.connectDescriptor" -value "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SERVICE_NAME=loader)))"
-
プライマリOracle Management Serviceのステップ3でコマンドを実行したら、残りのすべてのOracle Management Servicesに対してコマンドを繰り返します。
ステップ4: すべてのOracle Management Serviceをバウンスする
プライマリOracle Management Serviceから先に、すべてのOracle Management Serviceで次を実行します。
emctl stop oms –allEnterprise Managerリポジトリのlistener.oraファイルでTCPリスナーを無効にし、TCPS接続のみを有効にするようにリスナーを再度バウンスします。
プライマリOracle Management Serviceを起動します。
emctl start omsノート:
Oracle Management Serviceが起動しない場合、次のいずれかを実行する必要があります。
SQLNET.RECV_TIMEOUT=100000をデータベースのsqlnet.oraファイルに追加します。
または
データベース・パッチ20544797を適用します(推奨される方法)。
「管理サービスとリポジトリ」ターゲットでSSL資格証明を設定する必要があります。次に、「管理サービスとリポジトリ」ターゲットのSSL資格証明を設定します。Oracle Management Serviceホストで実行されているセントラル・エージェントがバージョン13cリリース5更新8 (13.5.0.8)以降であることを確認してから、次を実行します。
$MW_HOME/bin/emctl config emrep -set_ssl_creds プライマリOracle Management Serviceの起動後、残りのOracle Management Serviceを1つずつ起動します。
Oracle Management Serviceの接続記述子がTCPSに正常に変更されたことを確認するには、次のコマンドを実行します。
emctl config oms -list_repos_detailsステップ5: Enterprise Managerリポジトリをモニターするエージェントを再構成する
リポジトリ・データベース・ターゲットをモニターしているエージェントを再構成します。RACがリポジトリ用に構成されている場合は、RACのデータベース・インスタンスをモニターするエージェントを再構成する必要があります。
次のコマンドを実行して、リポジトリ・データベース・ホストで実行されているエージェントを再構成します。
-
リポジトリ・データベースが一方向SSL用に構成されている場合は、次を実行します。
AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStoreLocation -value <wallet_base>/truststore/wallet/ewallet.p12 AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStorePassword -value password AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStoreType -value PKCS12 -
リポジトリ・データベースが双方向SSL用に構成されている場合は、次を実行します。
AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStoreLocation -value <wallet_base>/truststore/wallet/ewallet.p12 AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStorePassword -value password AGENT_HOME/bin/emctl setproperty agent -name connectionTrustStoreType -value PKCS12 AGENT_HOME/bin/emctl setproperty agent -name connectionKeyStoreLocation -value <wallet_base>/client/wallet/ewallet.p12. AGENT_HOME/bin/emctl setproperty agent -name connectionKeyStorePassword -value password AGENT_HOME/bin/emctl setproperty agent -name connectionKeyStoreType -value PKCS12
ステップ6: Enterprise Managerリポジトリ接続を参照するターゲットを再構成する
Enterprise ManagerリポジトリをモニターするプライマリOracle Management Serviceのセントラル・エージェントのターゲットXMLでリポジトリ接続を参照するターゲットを特定します。また、ローカルの物理ホスト・エージェントがEnterprise Managerリポジトリのホストにデプロイされている場合、そのエージェントのターゲットXMLにあるターゲットも特定します。
emcli modify_target -name="<Target Name>" -type="<target_type>" -properties="<Property>:<Property Value>;<Property>:<Property Value>" -on_agentノート:
エージェントのtargets.xmlファイルから収集したtarget_name、target_type、propertyおよびproperty valueの書式を使用していることを確認してください。
例:
emcli modify_target -name="database1.mycompany.com" -type="oracle_database" -properties="Port:<TCPS_PORT>;Protocol:TCPS" -on_agentemcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-owsm" -type="metadata_repository" -properties="JdbcUrl|jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)));DatabaseName|@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent -subseparator=properties="|"emcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-sysman_mds" -type="metadata_repository" -properties="JdbcUrl|jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)));DatabaseName|@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent -subseparator=properties="|"ステップ7: 管理リポジトリに関連したターゲットのブラックアウトを終了する
Enterprise Managerリポジトリに関連したターゲットをブラックアウトから除外して、ターゲットのステータスがEnterprise Managerコンソールで「ターゲット起動」になっていることを確認します。