クライアントでのTLSデータ・セキュリティの構成

この項では、クライアント(データベース)でのTLSデータ・セキュリティの構成に必要な手順を示します。

クライアントでは、TLSをサポートするためにいくつかの変更が必要です。リカバリ・アプライアンスでは、デュアル・モードhttp/httpsでhttps暗号化のみを(暗号化httpなし)を使用できます(デフォルト)。

TLSをサポートするように保護されたデータベースの構成

TLS以外の使用を継続する場合は、CONFIGURE CHANNEL DEVICE TYPE "_RA_NO_SSL=TRUE"に追加することでRMAN設定を更新します。

CONFIGURE CHANNEL DEVICE TYPE
'SBT_TAPE' PARMS 
'SBT_LIBRARY=<LIB_DIR>/libra.so,
ENV=(_RA_NO_SSL=TRUE,RA_WALLET=location=file:/<WRL>
     credential_alias==<DBNAME>_TCPS,_RA_TRACE_LEVEL=1000)' FORMAT '%U_%d';  

<LIB_DIR>の例は/u01/app/oracle/product/19.0.0.0/dbhome_1/libです。

TLSの使用を開始する場合は、次のステップを実行する必要があります。

1. 検証を実行して、TLSの現在の位置を確認します。

   racli run check --check_name=tls_health
   racli list certificate

2. 信頼できる証明書(例: raCA.pem)をリカバリ・アプライアンスのホストからクライアント側の<COPY_DIR>にコピーします。

   証明書の権限は"oracle:oinstall"である必要があります。

3. ウォレットを更新するか、新しいウォレットを作成します。既存のウォレットがmkstoreを使用して作成されている場合は、証明書を受け入れることができる新しいウォレットをorapkiを使用して作成します。たとえば:

   orapki wallet create --wallet <WRL>

   orapki wallet create --wallet $ORACLE_HOME/dbs/Sydney

4. 信頼できる証明書を前述のウォレットにインポートします。

   orapki wallet add --wallet <WRL> --trusted_cert --cert <COPY_DIR>/<NAME3>.pem

   orapki wallet add --wallet $ORACLE_HOME/dbs/sydney --trusted_cert --cert $ORACLE_HOME/dbs/sydney/raCA.pem

5. リカバリ・アプライアンスのホストで、$ORACLE_HOME/network/admin/tnsnames.oraファイル内のTCPS別名(例: zdlra_tcps)を見つけ、それをクライアント側のtnsnames.oraファイルにコピーします。

6. ウォレットを--auto_loginに更新します。

   orapki wallet create --wallet <WRL> --auto_login

   orapki wallet create --wallet $ORACLE_HOME/dbs/sydney --auto_login

7. 新しいTCPS別名のVPCユーザー資格証明でそのウォレットを更新します。

   mkstore --wrl <WRL> --createCredential <DBNAME>_tcps <VPCUSER> <VPCPW>

   mkstore --wrl $ORACLE_HOME/dbs/sydney --createCredential zdlra7_tcps <VPCUSER> <VPCPW>

8. ウォレット・パス<WRL>をsqlnet.oraファイルに追加します。

9. tnspingを使用してクライアント側で検証します。

   tnsping <DBNAME>_TCPS

   tnsping ZDLRA7_TCPS

10. RMANに接続し、ウォレット情報を追加して"CONFIGURE CHANNEL DEVICE"を更新します。

    rman target / catalog <VPCUSER>/<VPCPW>@<DBNAME>_TCPS

    rman target / catalog <VPCUSER>/<VPCPW>@zdlra7_tcps

    または、次のコマンドを入力すると、VPCのユーザー名とパスワードの入力を求められます。

    rman target / catalog @<DBNAME>_TCPS

    rman target / catalog @zdlra7_tcps

11. バックアップの作成を試すことで、プロセス全体を検証します。

    run   
    {     allocate CHANNEL c1 DEVICE TYPE 'SBT_TAPE' PARMS "SBT_LIBRARY=<LIB_DIR>
            libra.so,ENV=(RA_WALLET='location=file:/<WRL>
            credential_alias=<DBNAME>_TCPS,RA_FORMAT=TRUE)";   
    
            backup incremental level 1 filesperset 1 section size 64g database plus archivelog not backed up filesperset 32;
            }

TLS使用の検証

次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。

• racli run check --check_name=tls_health
• racli run diagnostics --tag=tls
• racli run diagnostics --tag=tls_high