TLSおよびレプリケーションの設定

デュアル・モードのTransport Layer Security (TLS)を構成する前に、リカバリ・アプライアンスの間のレプリケーションが確立されていた場合は、アップストリームのリカバリ・アプライアンスで次の追加のステップが必要になります。

ノート:

レプリケーションが確立される前にTLSが構成されていた場合、変更する必要はありません。

信頼できる証明書のコピー

1. リカバリ・アプライアンスに、TLSがまだ設定されていないことを確認します。

   racli run check --check_name=tls_health
   racli list certificate

2. 信頼できる証明書をアップストリームのリカバリ・アプライアンスにコピーします。証明書の権限は"oracle:oinstall"である必要があります。

   ノート:

   アップストリームのリカバリ・アプライアンスの既存の証明書は置き換えないでください。これらは同じ名前である可能性があります。/tmpなどの一時的な場所を使用して、/raacfs/raadmin/config/cert/raCA.pemにある既存のデフォルト証明書が上書きされないようにしてください。

   アップストリームのリカバリ・アプライアンスでTLSが有効で、ダウンストリームのリカバリ・アプライアンスと同じ信頼できる証明を共有している場合は、次のステップをスキップして、tnsnames.oraを更新するステップに進みます。

3. RACLIを使用せずにアップストリームおよびダウンストリームのリカバリ・アプライアンスのレプリケーションが確立されていた場合は、正しいレプリケーション・ウォレットを作成します。

   ノート:

   アップストリームおよびダウンストリームのリカバリ・アプライアンスのレプリケーションがRACLIを使用して確立されていた場合は、正しいレプリケーション・ウォレットがすでに存在するため、このステップをスキップします。

   レプリケーションがRACLIを介して管理されていることを確認するには、次を実行します:

   racli status replication_server [--all]
   racli list replication_server [--all]

   ウォレットの作成が必要な場合は、RACLIのレプリケーション管理に準拠するために、新しいウォレットの場所を/raaacfs/raadmin/replication/orapki/にする必要があります。次のコマンドでは、ウォレットのパスワードおよびpkcs12証明書のパスワードが求められます。

   orapki wallet create -wallet /raaacfs/raadmin/replication/orapki/ -auto_login

4. 信頼できる証明書をウォレットにインポートします。汎用的なコマンドを次に示します。

   orapki wallet add -wallet /raaacfs/raadmin/replication/orapki/  --trusted_cert 
   --cert <CERT_DIR>/<NAME>.pem

   一方向レプリケーションの場合は、アップストリームのリカバリ・アプライアンスでのみコマンドを発行します。双方向レプリケーションの場合は、両方のリカバリ・アプライアンスでコマンドを発行します。

   このコマンドでは、ウォレットのパスワードおよびpkcs12証明書のパスワードが求められます。次のようにして、以前のレプリケーション・ウォレットから既存の資格証明を確認できます:

   $ mkstore -wrl /raacfs/raadmin/replication/orapki/ -listCredential
   $ mkstore -wrl /raacfs/raadmin/replication/orapki/ -list
   $ mkstore -wrl /raacfs/raadmin/replication/orapki/ -viewEntry oracle.security.client.password1

tnsnames.oraおよびレプリケーション・サーバーの更新

1. tnsnames.oraファイルのTCPS情報を更新します。

   これは、リカバリ・アプライアンスのtnsnames.oraファイルからコピーできます。

   "racli alter network -–service=ra_server –-encrypt=enable"を実行すると、各リカバリ・アプライアンスのTCPSサービスがRDBMSのORACLE_HOME/network/Admin/tnsnames.oraに追加されます。

2. 前述のように新しいウォレットを手動で作成した場合は、レプリケーション・サーバーを一時停止し、適切にレプリケーション・サーバーを更新してから、レプリケーション・サーバーを再開してください。

   • RACLI (23.1以降)を使用している場合:

     racli stop replication_server

     racli update replication_server

     racli start replication_server

   • DBMS_RA (21.1以前)を使用している場合:

     PAUSE_REPLICATION_SERVER

     UPDATE_REPLICATION_SERVER

     RESUME_REPLICATION_SERVER