1. 保護されたデータベースの構成ガイド
  2. クライアントでのTLSデータ・セキュリティの構成

3 クライアントでのTLSデータ・セキュリティの構成

この項では、クライアントでTLSデータ・セキュリティを構成するために必要なステップを示します。

クライアントでは、TLSをサポートするためにいくつかの変更も必要です。リカバリ・アプライアンスは、https暗号化のみ、デュアル・モードhttp/https、または暗号化httpなし(デフォルト)で使用できます。

TLSをサポートする保護されたデータベースの構成

TLS以外の使用を継続する場合は、RMAN設定を更新してCONFIGURE CHANNEL DEVICE TYPE "_RA_NO_SSL=TRUE"に追加します。 

CONFIGURE CHANNEL DEVICE TYPE
'SBT_TAPE' PARMS 
'SBT_LIBRARY=/u01/app/oracle/product/19.0.0.0/dbhome_1/lib/libra.so,
ENV=(_RA_NO_SSL=TRUE,,RA_WALLET=location=file:/<path>
     credential_alias=RADB01,_RA_TRACE_LEVEL=1000)' FORMAT '%U_%d';

TLSの使用を始める場合は、次のステップを実行する必要があります。

  1. リカバリ・アプライアンス・ホストからTCPS別名(例: zdlra_tcps)を検索し、クライアント・データベースのtnsnames.oraファイルにコピーします。

  2. ウォレットを更新するか、前のウォレットがmkstoreによって作成された場合は新しいウォレットを作成します。orapkiを使用して新しいウォレットを作成します。次に例を示します。 

    orapki wallet create -wallet $ORACLE_HOME/dbs/Sydney

  3. リカバリ・アプライアンス・ホストからクライアント・データベースにraCA.pemをコピーし、前述のステップで作成または更新されたウォレットにインポートします。 

    orapki wallet add -wallet $ORACLE_HOME/dbs/sydney -trusted_cert -cert $ORACLE_HOME/dbs/sydney/raCA.pem

  4. ウォレットを-auto_loginに更新します。 

    orapki wallet create -wallet $ORACLE_HOME/dbs/sydney -auto_login

  5. 新しい別名TCPSおよびravpcユーザーで資格証明を作成します 

    mkstore -wrl /u01/app/oracle/product/19.0.0.0/dbhome_1/dbs/sydney -createCredential zdlra7_tcps ravpc welcome123

  6. RMANを接続し、"CONFIGURE CHANNEL DEVICE"を更新してウォレット情報を追加します 

    rman target / catalog ravpc/welcome123@zdlra7_tcps

TLS使用の検証

次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。

  • racli run check --check_name=tls_health
  • racli run diagnostics --tag=tls
  • racli run diagnostics --tag=tls_high