1. 管理者ガイド
  2. リカバリ・アプライアンスの管理
  3. TLSの概要と構成
  4. クライアントでのTLSデータ・セキュリティの構成

クライアントでのTLSデータ・セキュリティの構成

この項では、クライアント(データベース)でのTLSデータ・セキュリティの構成に必要な手順を示します。

クライアントでは、TLSをサポートするためにいくつかの変更が必要です。リカバリ・アプライアンスでは、デュアル・モードhttp/httpshttps暗号化のみを(暗号化httpなし)を使用できます(デフォルト)。

TLSをサポートするように保護されたデータベースの構成

TLS以外の使用を継続する場合は、CONFIGURE CHANNEL DEVICE TYPE "_RA_NO_SSL=TRUE"に追加することでRMAN設定を更新します。 

CONFIGURE CHANNEL DEVICE TYPE
'SBT_TAPE' PARMS 
'SBT_LIBRARY=<LIB_DIR>/libra.so,
ENV=(_RA_NO_SSL=TRUE,RA_WALLET=location=file:/<WRL>
     credential_alias==<DBNAME>_TCPS,_RA_TRACE_LEVEL=1000)' FORMAT '%U_%d';

<LIB_DIR>の例は/u01/app/oracle/product/19.0.0.0/dbhome_1/libです。

TLSの使用を開始する場合は、次のステップを実行する必要があります。

  1. 検証を実行して、TLSの現在の位置を確認します。

    racli run check --check_name=tls_health
racli list certificate

  2. 信頼できる証明書(例: raCA.pem)をリカバリ・アプライアンスのホストからクライアント側の<COPY_DIR>にコピーします。

    証明書の権限は"oracle:oinstall"である必要があります。

  3. ウォレットを更新するか、新しいウォレットを作成します。既存のウォレットがmkstoreを使用して作成されている場合は、証明書を受け入れることができる新しいウォレットをorapkiを使用して作成します。たとえば: 

    orapki wallet create --wallet <WRL>
    orapki wallet create --wallet $ORACLE_HOME/dbs/Sydney

  4. 信頼できる証明書を前述のウォレットにインポートします。 

    orapki wallet add --wallet <WRL> --trusted_cert --cert <COPY_DIR>/<NAME3>.pem
    orapki wallet add --wallet $ORACLE_HOME/dbs/sydney --trusted_cert --cert $ORACLE_HOME/dbs/sydney/raCA.pem

  5. リカバリ・アプライアンスのホストで、$ORACLE_HOME/network/admin/tnsnames.oraファイル内のTCPS別名(例: zdlra_tcps)を見つけ、それをクライアント側のtnsnames.oraファイルにコピーします。

  6. ウォレットを--auto_loginに更新します。 

    orapki wallet create --wallet <WRL> --auto_login
    orapki wallet create --wallet $ORACLE_HOME/dbs/sydney --auto_login

  7. 新しいTCPS別名のVPCユーザー資格証明でそのウォレットを更新します。

    mkstore --wrl <WRL> --createCredential <DBNAME>_tcps <VPCUSER> <VPCPW>
    mkstore --wrl $ORACLE_HOME/dbs/sydney --createCredential zdlra7_tcps <VPCUSER> <VPCPW>

  8. ウォレット・パス<WRL>sqlnet.oraファイルに追加します。

  9. tnspingを使用してクライアント側で検証します。 

    tnsping <DBNAME>_TCPS
    tnsping ZDLRA7_TCPS

  10. RMANに接続し、ウォレット情報を追加して"CONFIGURE CHANNEL DEVICE"を更新します。 

    rman target / catalog <VPCUSER>/<VPCPW>@<DBNAME>_TCPS
    rman target / catalog <VPCUSER>/<VPCPW>@zdlra7_tcps

    または、次のコマンドを入力すると、VPCのユーザー名とパスワードの入力を求められます。

    rman target / catalog @<DBNAME>_TCPS
    rman target / catalog @zdlra7_tcps

  11. バックアップの作成を試すことで、プロセス全体を検証します。

    run   
{     allocate CHANNEL c1 DEVICE TYPE 'SBT_TAPE' PARMS "SBT_LIBRARY=<LIB_DIR>
        libra.so,ENV=(RA_WALLET='location=file:/<WRL>
        credential_alias=<DBNAME>_TCPS,RA_FORMAT=TRUE)";   

        backup incremental level 1 filesperset 1 section size 64g database plus archivelog not backed up filesperset 32;
        }

TLS使用の検証

次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。