クライアントでのTLSデータ・セキュリティの構成
この項では、クライアント(データベース)でのTLSデータ・セキュリティの構成に必要な手順を示します。
クライアントでは、TLSをサポートするためにいくつかの変更が必要です。リカバリ・アプライアンスでは、デュアル・モードhttp/https
でhttps
暗号化のみを(暗号化http
なし)を使用できます(デフォルト)。
TLSをサポートするように保護されたデータベースの構成
TLS以外の使用を継続する場合は、CONFIGURE CHANNEL DEVICE TYPE
"_RA_NO_SSL=TRUE
"に追加することでRMAN設定を更新します。
CONFIGURE CHANNEL DEVICE TYPE
'SBT_TAPE' PARMS
'SBT_LIBRARY=<LIB_DIR>/libra.so,
ENV=(_RA_NO_SSL=TRUE,RA_WALLET=location=file:/<WRL>
credential_alias==<DBNAME>_TCPS,_RA_TRACE_LEVEL=1000)' FORMAT '%U_%d';
<LIB_DIR>
の例は/u01/app/oracle/product/19.0.0.0/dbhome_1/lib
です。
TLSの使用を開始する場合は、次のステップを実行する必要があります。
-
検証を実行して、TLSの現在の位置を確認します。
racli run check --check_name=tls_health racli list certificate
-
信頼できる証明書(例:
raCA.pem
)をリカバリ・アプライアンスのホストからクライアント側の<COPY_DIR>
にコピーします。証明書の権限は
"oracle:oinstall"
である必要があります。 -
ウォレットを更新するか、新しいウォレットを作成します。既存のウォレットが
mkstore
を使用して作成されている場合は、証明書を受け入れることができる新しいウォレットをorapki
を使用して作成します。たとえば:orapki wallet create --wallet <WRL>
orapki wallet create --wallet $ORACLE_HOME/dbs/Sydney
-
信頼できる証明書を前述のウォレットにインポートします。
orapki wallet add --wallet <WRL> --trusted_cert --cert <COPY_DIR>/<NAME3>.pem
orapki wallet add --wallet $ORACLE_HOME/dbs/sydney --trusted_cert --cert $ORACLE_HOME/dbs/sydney/raCA.pem
-
リカバリ・アプライアンスのホストで、
$ORACLE_HOME/network/admin/tnsnames.ora
ファイル内のTCPS別名(例:zdlra_tcps
)を見つけ、それをクライアント側のtnsnames.ora
ファイルにコピーします。 -
ウォレットを
--auto_login
に更新します。orapki wallet create --wallet <WRL> --auto_login
orapki wallet create --wallet $ORACLE_HOME/dbs/sydney --auto_login
-
新しいTCPS別名のVPCユーザー資格証明でそのウォレットを更新します。
mkstore --wrl <WRL> --createCredential <DBNAME>_tcps <VPCUSER> <VPCPW>
mkstore --wrl $ORACLE_HOME/dbs/sydney --createCredential zdlra7_tcps <VPCUSER> <VPCPW>
-
ウォレット・パス
<WRL>
をsqlnet.ora
ファイルに追加します。 -
tnsping
を使用してクライアント側で検証します。tnsping <DBNAME>_TCPS
tnsping ZDLRA7_TCPS
-
RMANに接続し、ウォレット情報を追加して"
CONFIGURE CHANNEL DEVICE
"を更新します。rman target / catalog <VPCUSER>/<VPCPW>@<DBNAME>_TCPS
rman target / catalog <VPCUSER>/<VPCPW>@zdlra7_tcps
または、次のコマンドを入力すると、VPCのユーザー名とパスワードの入力を求められます。
rman target / catalog @<DBNAME>_TCPS
rman target / catalog @zdlra7_tcps
-
バックアップの作成を試すことで、プロセス全体を検証します。
run { allocate CHANNEL c1 DEVICE TYPE 'SBT_TAPE' PARMS "SBT_LIBRARY=<LIB_DIR> libra.so,ENV=(RA_WALLET='location=file:/<WRL> credential_alias=<DBNAME>_TCPS,RA_FORMAT=TRUE)"; backup incremental level 1 filesperset 1 section size 64g database plus archivelog not backed up filesperset 32; }
TLS使用の検証
次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。
racli run check --check_name=tls_health
racli run diagnostics --tag=tls
racli run diagnostics --tag=tls_high