RACLIによるTLS証明書の手動作成
この項では、RACLIを使用してTLS証明書を作成する方法について説明します。
お客様の組織では認証局(CA)がないかそれを使用していない場合は、これらの手順を使用して、TLS操作のための必要な信頼できる証明書および署名付き証明書を作成できます。
信頼できる証明書と署名付き証明書の両方に次の情報が必要です:
- 国名
- 州名
- 組織名
- 組織単位名
- 電子メール・アドレス
RACLIを使用して、信頼できる証明書および署名付き証明書を生成します。
-
組織情報を用意して、次のようなRACLIコマンドを発行します:
# racli create certificate --country=US --state=CA --location=SF --organization=oracle --organization_unit=zdlra --email_address=<YOUR_EMAIL> Created log /opt/oracle.RecoveryAppliance/log/racli_create_certificate.20230329.1110.log Enter New Password for Certificate: Confirm New Password for Certificate: Wed Mar 29 11:11:22 2023: Start: Create TLS Trusted Certificate Wed Mar 29 11:11:26 2023: End: Create TLS Trusted Certificate Wed Mar 29 11:11:26 2023: Start: Create TLS Signed Certificate Wed Mar 29 11:11:31 2023: End: Create TLS Signed Certificate Certificate(s) created under /raacfs/raadmin/config/cert
作成された証明書の名前は
<yourScanName>.p12
であり、ここでの<yourScanName>
はご使用の環境のCNです。 -
<yourScanName>
のローカル・ホスト情報および共通名(CN)項目を取得するには、次のようにします。racli list san Created log /opt/oracle.RecoveryAppliance/log/racli_list_san.log Thu May 6 16:18:33 2021: Start: List SAN CN = zdlra09ingest-scan1.yourdomain.com DNS.1 = zdlra09adm01.yourdomain.com DNS.2 = zdlra09adm02.yourdomain.com DNS.3 = zdlra09ingest-scan1.yourdomain.com DNS.4 = zdlra09ingest01-vip.yourdomain.com DNS.5 = zdlra09ingest01.yourdomain.com DNS.6 = zdlra09ingest02-vip.yourdomain.com DNS.7 = zdlra09ingest02.yourdomain.com Thu May 6 16:18:39 2021: End: List SAN
この例では、
<yourScanName>
は"zdlra09ingest-scan1
"であり、証明書ファイルは<yourScanName>.p12
です。後でウォレットに追加するときに、証明書タイプ(信頼できる、または署名付き)を割り当てます。
ウォレットへの証明書のインポート
信頼できる証明書と署名付き証明書(それぞれ<yourScanName>.pem
および<yourScanName>.p12
)の作成が完了したら、それらをTLSのリカバリ・アプライアンス・ウォレットにインポートします。
-
前のステップでの証明書(信頼できる、または署名付き)をウォレットにインポートします。次に汎用コマンドを示しますが、具体的な例は次のステップで示します。
racli add certificate { [--trusted_cert=<VALUE>] | [--signed_cert=<VALUE>] | [--self_signed] }
引数:
--trusted_cert=<VALUE>
: 追加する信頼できる証明書のフルパスと名前を指定します。--signed_cert=<VALUE>
: 追加する、信頼できるストア内の署名付き証明書のフルパスおよび名前を指定します。--self_signed
: 指定した場所から両方の証明書をリカバリ・アプライアンスで検索することを指定します。これは、証明書を"racli create certificate
"で作成した場合のみ使用してください。これはOracle推奨構成ではなく、テスト環境でのみ使用されます。ノート:
自己署名証明書は長期間使用したり、本番用に使用しないでください。認証局によって署名された(信頼できる)証明書を使用することをお薦めします。
-
署名付き証明書をTLSウォレットにインポートします。証明書をRACLIで作成した場合は、
--self_signed
引数を含めます。racli add certificate --signed_cert=<yourDir>/<yourScanName>.p12 [--self_signed]
-
信頼できる証明書をTLSウォレットにインポートします。証明書をRACLIで作成した場合は、
--self_signed
引数を含めます。racli add certificate --trust_cert=<yourDir>/<yourScanName>.pem [--self_signed]
-
証明書をインポートした後、"
racli list certificate
"を使用して、証明書がraa_certs
データベース表にあることを確認します。# racli list certificate Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log Wed Mar 29 11:46:49 2023: Start: List Certificate Serial: 9A15CB4B76BBC52D Expire Time: 2024-03-28 Certificate Type: trusted_cert Serial: 95B9181340F644F0 Expire Time: 2024-03-28 Certificate Type: signed_cert Wed Mar 29 11:46:49 2023: End: List Certificate
-
「リカバリ・アプライアンスでのTLSデータ・セキュリティの構成」、「クライアントでのTLSデータ・セキュリティの構成」の順に進みます。
証明書がraa_certs
データベース表にあり、その残りの検証日数が90日未満の場合は、インシデントが発生します。証明書の期限が切れた場合は、ユーザーがRACLIを使用して新しい有効な証明書をインポートし、古い証明書を置き換える必要があります。