リカバリ・アプライアンスでのTLSデータ・セキュリティの構成
この項では、リカバリ・アプライアンスでTLSデータ・セキュリティを構成するステップについて説明します。
RACLIコマンドはTLS (トランスポート層セキュリティ)を構成します。リカバリ・アプライアンスではこれらのTLSモードがあります:
-
only:
https
暗号化のみ。 -
enable:
http/https
デュアル・モード。 -
disable: デフォルトの、暗号化なしの
http
。
ポート番号はカスタマイズできます。暗号化のデフォルトのポートは次のとおりです。
- TCPS: 2484
- HTTPS: 8002
- REPL_TCPS: 2485
暗号化されていない操作のデフォルト・ポートは次のとおりです。
- TCP: 1521
- HTTP: 8001
- REPL_TCP: 1522
-
"
racli list certificate
"を使用して、証明書がraa_certs
データベース表にあることを確認します。# racli list certificate Created log /opt/oracle.RecoveryAppliance/log/racli_list_certificate.20230329.1146.log Wed Mar 29 11:46:49 2023: Start: List Certificate Serial: 9A15CB4B76BBC52D Expire Time: 2024-03-28 Certificate Type: trusted_cert Serial: 95B9181340F644F0 Expire Time: 2024-03-28 Certificate Type: signed_cert Wed Mar 29 11:46:49 2023: End: List Certificate
-
証明書を使用するリカバリ・アプライアンスでTLSモードを更新するには、次のようなコマンドを発行します:
racli alter network --service=ra_server --encrypt=enable
ノート:
手続きの一環としてCRSスタック全体が再起動されるため、リカバリ・アプライアンスが完全に停止されることが予想されます。この停止により、レプリケーションの一時停止、バックアップ・スケジューラの一時停止などのステップがさらに必要になります。
コマンドの一般的な形式は次のとおりです:
racli alter network --service=ra_server { --encrypt=[enable|only|disable] } [ --tcps_port=<VALUE>|--tcp_port=<VALUE> ] [ --https_port=<VALUE>|--http_port=<VALUE> ] [ --repl_tcp_port=<VALUE>|--repl_tcps_port=<VALUE>] [ --silent ]
-
--service
-
システム上で変更されるサービスを指定します。有効な値はra_serverです。
--network_type
またはその引数とともに使用できません。 -
--network_type
-
システムのネットワーク・タイプを指定します。
--service
またはその引数とともに使用できません。 -
--encrypt
-
システムのTLS暗号化ステータスを指定します。"only"はHTTPS暗号化を意味し、"enable"はデュアルHTTPSとHTTPを意味し、"disable"はHTTPを意味します。
-
--http_port
-
使用するHTTPポート番号を指定します。デフォルト・ポートは8001です。
-
--https_port
-
使用するHTTPSポート番号を指定します。デフォルト・ポートは8005です。
-
--tcp_port
-
使用するTCPポート番号を指定します。デフォルト・ポートは1521です。
-
--tcps_port
-
使用するTCPSポート番号を指定します。デフォルト・ポートは2484です
-
--rep_tcps_port
-
使用するレプリケーションTCPSポート番号を指定します。デフォルト・ポートは2485です。
-
--rep_tcp_port
-
使用するレプリケーションTCPポート番号を指定します。デフォルト・ポートは1522です。
-
--silent
-
存在する場合
-
-
TLSのヘルスを確認します。
# racli run check --check_name=tls_health
リカバリ・アプライアンスでのTLS暗号化の変更
racli alter network
コマンドは、TCPSとHTTPS、およびTCPとHTTPを構成します。これには3つの暗号化操作モードがあります。
-
TLS暗号化の有効化: これはデュアル・モードTCP/TCPSおよびHTTP/HTTPSを有効にし、特に指定のないかぎりデフォルト・ポートを使用します。
racli alter network -–service=ra_server –-encrypt=enable [ --tcps_port=<VALUE> ] [ --https_port=<VALUE> ] [ --repl_tcps_port=<VALUE> ]
-
TLS暗号化の無効化: これはTCPおよびHTTPを有効にし、特に指定のないかぎりデフォルト・ポートを使用します。
racli alter network -–service=ra_server –-encrypt=disable [ --tcp_port=<VALUE> ] [ --http_port=<VALUE> ] [ --repl_tcp_port=<VALUE> ]
-
TLS暗号化のみ有効化: TCPSとHTTPSのみを有効にします。TCPおよびHTTPは無効になります。特に指定がないかぎり、デフォルトのポートが使用されます。
racli alter network -–service=ra_server –-encrypt=only [ --tcps_port=<VALUE> ] [ --https_port=<VALUE> ] [ --repl_tcps_port=<VALUE> ]
TLS使用の検証
次のコマンドは、様々なTLSオブジェクトのモニタリングに役立ちます。
racli run check --check_name=tls_health
racli run diagnostics --tag=tls
racli run diagnostics --tag=tls_high