リカバリ・アプライアンスでのTLSデータ・セキュリティの構成

この項では、リカバリ・アプライアンスでTLSデータ・セキュリティを構成するステップについて説明します。

RACLIコマンドはTLS (トランスポート層セキュリティ)を構成します。リカバリ・アプライアンスではこれらのTLSモードがあります:

• only: https暗号化のみ。

• enable: http/httpsデュアル・モード。

• disable: デフォルトの、暗号化なしのhttp。

ポート番号はカスタマイズできます。暗号化のデフォルトのポートは次のとおりです。

• TCPS: 2484
• HTTPS: 8002
• REPL_TCPS: 2485

暗号化されていない操作のデフォルト・ポートは次のとおりです。

• TCP: 1521
• HTTP: 8001
• REPL_TCP: 1522

1. "racli list certificate"を使用して、証明書がraa_certsデータベース表にあることを確認します。

   # racli list certificate
   
   Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log
   Wed Mar 29 11:46:49 2023: Start: List Certificate
   Serial: 9A15CB4B76BBC52D
       Expire Time:      2024-03-28
       Certificate Type: trusted_cert
    
   Serial: 95B9181340F644F0
       Expire Time:      2024-03-28
       Certificate Type: signed_cert
    
   Wed Mar 29 11:46:49 2023: End: List Certificate

2. 証明書を使用するリカバリ・アプライアンスでTLSモードを更新するには、次のようなコマンドを発行します:

   racli alter network --service=ra_server --encrypt=enable

   ノート:

   手続きの一環としてCRSスタック全体が再起動されるため、リカバリ・アプライアンスが完全に停止されることが予想されます。この停止により、レプリケーションの一時停止、バックアップ・スケジューラの一時停止などのステップがさらに必要になります。

   コマンドの一般的な形式は次のとおりです:

   racli alter network --service=ra_server
   { --encrypt=[enable|only|disable] }
   [ --tcps_port=<VALUE>|--tcp_port=<VALUE> ]
   [ --https_port=<VALUE>|--http_port=<VALUE> ]
   [ --repl_tcp_port=<VALUE>|--repl_tcps_port=<VALUE>]
   [ --silent ]

   --service

   システム上で変更されるサービスを指定します。有効な値はra_serverです。--network_typeまたはその引数とともに使用できません。

   --network_type

   システムのネットワーク・タイプを指定します。--serviceまたはその引数とともに使用できません。

   --encrypt

   システムのTLS暗号化ステータスを指定します。"only"はHTTPS暗号化を意味し、"enable"はデュアルHTTPSとHTTPを意味し、"disable"はHTTPを意味します。

   --http_port

   使用するHTTPポート番号を指定します。デフォルト・ポートは8001です。

   --https_port

   使用するHTTPSポート番号を指定します。デフォルト・ポートは8005です。

   --tcp_port

   使用するTCPポート番号を指定します。デフォルト・ポートは1521です。

   --tcps_port

   使用するTCPSポート番号を指定します。デフォルト・ポートは2484です

   --rep_tcps_port

   使用するレプリケーションTCPSポート番号を指定します。デフォルト・ポートは2485です。

   --rep_tcp_port

   使用するレプリケーションTCPポート番号を指定します。デフォルト・ポートは1522です。

   --silent

   存在する場合

3. TLSのヘルスを確認します。

   # racli run check --check_name=tls_health

リカバリ・アプライアンスでのTLS暗号化の変更

racli alter networkコマンドは、TCPSとHTTPS、およびTCPとHTTPを構成します。これには3つの暗号化操作モードがあります。

• TLS暗号化の有効化: これはデュアル・モードTCP/TCPSおよびHTTP/HTTPSを有効にし、特に指定のないかぎりデフォルト・ポートを使用します。

  racli alter network 
  -–service=ra_server –-encrypt=enable
  [ --tcps_port=<VALUE> ]
  [ --https_port=<VALUE> ]
  [ --repl_tcps_port=<VALUE> ]

• TLS暗号化の無効化: これはTCPおよびHTTPを有効にし、特に指定のないかぎりデフォルト・ポートを使用します。

  racli alter network 
  -–service=ra_server –-encrypt=disable
  [ --tcp_port=<VALUE> ]
  [ --http_port=<VALUE> ]
  [ --repl_tcp_port=<VALUE> ]

• TLS暗号化のみ有効化: TCPSとHTTPSのみを有効にします。TCPおよびHTTPは無効になります。特に指定がないかぎり、デフォルトのポートが使用されます。

  racli alter network 
  -–service=ra_server –-encrypt=only
  [ --tcps_port=<VALUE> ]
  [ --https_port=<VALUE> ]
  [ --repl_tcps_port=<VALUE> ]

TLS使用の検証

次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。

• racli run check --check_name=tls_health
• racli run diagnostics --tag=tls
• racli run diagnostics --tag=tls_high