RACLIによるTLS証明書の手動作成

この項では、RACLIを使用してTLS証明書を作成する方法について説明します。

お客様の組織では認証局(CA)がないかそれを使用していない場合は、これらの手順を使用して、TLS操作のための必要な信頼できる証明書および署名付き証明書を作成できます。

信頼できる証明書と署名付き証明書の両方に次の情報が必要です:

• 国名
• 州名
• 組織名
• 組織単位名
• 電子メール・アドレス

RACLIを使用して、信頼できる証明書および署名付き証明書を生成します。

1. 組織情報を用意して、次のようなRACLIコマンドを発行します:

   # racli create certificate --country=US --state=CA --location=SF --organization=oracle 
   --organization_unit=zdlra --email_address=<YOUR_EMAIL>
   
   Created log /opt/oracle.RecoveryAppliance/log/racli_create_certificate.20230329.1110.log
   Enter New Password for Certificate:
   Confirm New Password for Certificate:
   Wed Mar 29 11:11:22 2023: Start: Create TLS Trusted Certificate
   Wed Mar 29 11:11:26 2023: End: Create TLS Trusted Certificate
   Wed Mar 29 11:11:26 2023: Start: Create TLS Signed Certificate
   Wed Mar 29 11:11:31 2023: End: Create TLS Signed Certificate
   Certificate(s) created under /raacfs/raadmin/config/cert

   作成された証明書の名前は<yourScanName>.p12であり、ここでの<yourScanName>はご使用の環境のCNです。

2. <yourScanName>のローカル・ホスト情報および共通名(CN)項目を取得するには、次のようにします。

   racli list san
   
       Created log /opt/oracle.RecoveryAppliance/log/racli_list_san.log
       Thu May  6 16:18:33 2021: Start: List SAN
       CN = zdlra09ingest-scan1.yourdomain.com
       DNS.1 = zdlra09adm01.yourdomain.com
       DNS.2 = zdlra09adm02.yourdomain.com
       DNS.3 = zdlra09ingest-scan1.yourdomain.com
       DNS.4 = zdlra09ingest01-vip.yourdomain.com
       DNS.5 = zdlra09ingest01.yourdomain.com
       DNS.6 = zdlra09ingest02-vip.yourdomain.com
       DNS.7 = zdlra09ingest02.yourdomain.com
       Thu May  6 16:18:39 2021: End: List SAN

   この例では、<yourScanName>は"zdlra09ingest-scan1"であり、証明書ファイルは<yourScanName>.p12です。

   後でウォレットに追加するときに、証明書タイプ(信頼できる、または署名付き)を割り当てます。

ウォレットへの証明書のインポート

信頼できる証明書と署名付き証明書(それぞれ<yourScanName>.pemおよび<yourScanName>.p12)の作成が完了したら、それらをTLSのリカバリ・アプライアンス・ウォレットにインポートします。

1. 前のステップでの証明書(信頼できる、または署名付き)をウォレットにインポートします。次に汎用コマンドを示しますが、具体的な例は次のステップで示します。

   racli add certificate { [--trusted_cert=<VALUE>] |
         [--signed_cert=<VALUE>] | [--self_signed] }

   引数:

   • --trusted_cert=<VALUE>: 追加する信頼できる証明書のフルパスと名前を指定します。
   • --signed_cert=<VALUE>: 追加する、信頼できるストア内の署名付き証明書のフルパスおよび名前を指定します。
   • --self_signed: 指定した場所から両方の証明書をリカバリ・アプライアンスで検索することを指定します。これは、証明書を"racli create certificate"で作成した場合のみ使用してください。これはOracle推奨構成ではなく、テスト環境でのみ使用されます。

     ノート:

     自己署名証明書は長期間使用したり、本番用に使用しないでください。認証局によって署名された(信頼できる)証明書を使用することをお薦めします。

2. 署名付き証明書をTLSウォレットにインポートします。証明書をRACLIで作成した場合は、--self_signed引数を含めます。

   racli add certificate --signed_cert=<yourDir>/<yourScanName>.p12 [--self_signed]

3. 信頼できる証明書をTLSウォレットにインポートします。証明書をRACLIで作成した場合は、--self_signed引数を含めます。

   racli add certificate --trust_cert=<yourDir>/<yourScanName>.pem [--self_signed]

4. 証明書をインポートした後、"racli list certificate"を使用して、証明書がraa_certsデータベース表にあることを確認します。

   # racli list certificate
   
   Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log
   Wed Mar 29 11:46:49 2023: Start: List Certificate
   Serial: 9A15CB4B76BBC52D
       Expire Time:      2024-03-28
       Certificate Type: trusted_cert
    
   Serial: 95B9181340F644F0
       Expire Time:      2024-03-28
       Certificate Type: signed_cert
    
   Wed Mar 29 11:46:49 2023: End: List Certificate

5. 「リカバリ・アプライアンスでのTLSデータ・セキュリティの構成」、「クライアントでのTLSデータ・セキュリティの構成」の順に進みます。

証明書がraa_certsデータベース表にあり、その残りの検証日数が90日未満の場合は、インシデントが発生します。証明書の期限が切れた場合は、ユーザーがRACLIを使用して新しい有効な証明書をインポートし、古い証明書を置き換える必要があります。

• racli add certificate
• racli remove certificate