TLSv1.2プロトコルを使用したセキュアな通信のためのAlways-On Monitoringアプリケーションの構成

Transport Layer Security (TLS)は、アプリケーション間の通信プライバシおよびデータ整合性を提供することによってコンピュータ・ネットワーク上のセキュリティを強化するために使用する、暗号プロトコルです。Always-On Monitoring (AOM)の場合、これらのセキュアな通信チャネルは次のコンポーネント間にあります。

  • AOMアプリケーションとAOMリポジトリ

  • AOMアプリケーションとEnterprise Managerリポジトリ

次の手順は、TLSv1.2通信をAlways-On Monitoringに対して有効化する方法を網羅しています。

CA証明書の格納

Always-On MonitoringリポジトリおよびEnterprise ManagerリポジトリのサーバーCA証明書は、外部トラスト・ストアまたはOracle Management ServiceのJDKトラスト・ストア(JAVA_HOME/jre/lib/security/cacerts)に格納できます。

外部トラスト・ストアへの証明書の格納

外部トラスト・ストアに証明書を格納する場合、次の環境変数を設定する必要があります。

  • AOM_DB_WALLET_LOC - 外部トラスト・ストアへの絶対パス。たとえば: /home/aom/externalTrustSTore.jks

  • AOM_DB_WALLET_TYPE - 使用するトラスト・ストアのタイプ。JKS。PKCS12 (Enterprise Manager 13.3の場合、SSOトラスト・ストアはサポートされていません)

  • AOM_DB_WALLET_PASSWORD - トラスト・ストアのパスワード(JKSおよびPKCS12の場合)

ノート:

CSHでは、環境変数を設定するためにsetenvコマンドを使用します。たとえば、AOM_DB_WALLET_LOC環境変数を設定するには、次を実行します。
% setenv AOM_DB_WALLET_LOC /home/aom/externalTrustStore.jks
bash環境で同じ環境変数を設定するには、次を実行します。
% export AOM_DB_WALLET_LOC=/home/aom/externalTrustStore.jks

Oracle Management ServiceのJDKトラスト・ストアへの証明書の格納

Oracle Management ServiceのJDKトラスト・ストアに証明書を格納することを選択した場合、追加の構成を行うことなくemscaまたはemsctlスクリプトを使用できます。

TLSv1.2を使用するためのAlways-On Monitoringの構成のガイドライン

  • emscaを使用したAlways-On Monitoringの初期設定中、DB接続文字列の入力を求められたら、短い形式ではなく、次の例に示すように、使用するプロトコル・タイプ(TCPS)を含む長い形式を使用して接続文字列を指定する必要があります。

    長い形式

    (DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=myserver.myco.com) (PORT=15044)) (CONNECT_DATA =(SID=dbview)) 

    短い形式(TCPSでは機能しません): 

    myserver.myco.com:15044:dbview
  • 最初、Always-On MonitoringがTCPプロトコルをemsca構成の一部として使用するように構成されており、後でTCPSに切り替える場合、次のステップを実行することによってAlways-On Monitoringを再構成できます。

    1. emsConfig.propertiesファイル($AOM_HOME/conf/emsConfig.properties)のAlways-On Monitoringデータベース接続文字列を変更します。

    2. テーブル - EMS_SYNC_CONNECT_PROPS.connect_stringに格納されているAlways-On Monitoringデータベース内のEnterprise Managerリポジトリ接続文字列を変更します。

    3. JDKウォレット(JAVA_HOME/jre/lib/security/cacertsの下)または外部トラスト・ストアに、Always-On MonitoringリポジトリおよびEnterprise Managerリポジトリの両方に対するルートCA証明書があることを確認します。

  • 最初、Always-On MonitoringがTCPSプロトコルをemsca構成の一部として使用するように構成されており、後でTCPに切り替える場合、次のステップを実行することによってAlways-On Monitoringを再構成できます。

    1. AOM_HOME/conf/emsConfig.propertiesファイルで、正しいAOMデータベース接続文字列をプロパティemsRepConnectStringで置き換えます。データベースと接続するためにTCPプロトコルが使用される場合、接続文字列の短い形式または長い形式のいずれかを使用できます。TCPSが使用される場合は、前に説明したように、データベース接続文字列を長い形式で指定する必要があります。

    2. Enterprise Manager接続文字列を変更するには、Always-On Monitoringデータベース内のEMS_SYNC_CONNECT_PROPS.connect_stringフィールドを更新する必要があります。