RootCA証明書およびサーバー証明書の作成

デプロイメントには、様々なクライアント証明書およびサーバー証明書が必要になる場合があります。ホスト・デプロイメント用の信頼できるルートCA証明書およびサーバー証明書を作成するには、次の項で説明するコマンドを使用します。

これらの証明書の生成に使用されるコマンドは、OpenSSLコマンドです。

次の例では、完全修飾ドメイン名dc1.example.com内のホストwest01. dc1.example.comでデプロイメントが実行されています。異なるサーバーに複数のOracle GoldenGateインスタンスを作成する場合は、server01を使用するホスト名に置き換え、それに応じて修飾ドメイン名を置き換えることができます。

信頼できるRootCA証明書の作成

次のコマンドを使用して、信頼できるRootCA証明書を生成します。

openssl req -subj "/CN=RootCA"     \
            -newkey rsa:2048       \
            -nodes                 \
            -keyout rootCA_key.pem \
            -new -x509 -days 365   \
            -out rootCA_cert.pem

このコマンドは、ルート証明書rootCA_cert.pemおよび秘密キーrootCA_key.pemを使用して2つのファイルを作成します。どちらのファイルもPrivacy Enhanced Mail (PEM)形式で格納されます。秘密キーは公開キー暗号化標準(PKCS) #8形式で作成されます。ルート証明書rootCA_cert.pemは、サーバー証明書のセキュアなOracle GoldenGateデプロイメント内で使用されます。デプロイメント内に分散クライアント(distclient)証明書を追加することもできます。ここでは、ルート証明書が再度使用されます。

サーバー証明書の作成

rootCA証明書および秘密キーを使用して、サーバー証明書を作成できます。次のような構成ファイルを使用して、west01_cert.cnfを作成します。

extendedKeyUsage = serverAuth
subjectAltName = DNS:west01,DNS:west01.dc1.example.com,DNS:localhost,IP:127.0.0.1

サーバー証明書の構成ファイルを作成した後は、次のコマンドを使用してサーバー証明書および秘密キー・ファイルを作成します。

subject="/C=US/O=OGG example/CN=west01"

openssl req -subj "${subject}"     \
        -newkey rsa:2048 -nodes    \
        -keyout west01_key.pem     \
        -new                       \
        -out west01.csr

openssl x509 -CAcreateserial       \
        -CA    rootCA_cert.pem     \
        -CAkey rootCA_key.pem      \
        -req                       \
        -in west01.csr             \
        -extfile west01_cert.cnf   \
        -days 365                  \
        -out west01_cert.pem

どちらのファイルもPrivacy Enhanced Mail (PEM)に格納され、秘密キーは公開キー暗号化標準(PKCS) #12形式で作成されます。サーバー証明書とサーバー秘密キーは、Oracle GoldenGateデプロイメント内で使用されます。サーバーを一意に識別するために、サブジェクト内の共通名(CN)にはホスト名west01が使用されています。