8.2 VeridataサーバーでのNSK Cエージェントの双方向SSLの構成

Veridataサーバーの前提条件

1. PATH環境変数に、keytoolが配置されているJDK 17のbinディレクトリへのパスが含まれていることを確認します。
2. キーストアは、以前のリリースではアイデンティティ・ストアとも呼ばれていました

VeridataサーバーでのSSL構成

サーバー・キーストアおよび証明書の生成

Oracle GoldenGate Veridataサーバー・キーストアが作成されていない場合は、次のようにkeytoolコマンドを使用してサーバー・キーストアを生成します。

1. <Server_installation_location>/configディレクトリに移動します。
2. 次のコマンドを使用して、サーバー・キーストアを作成します:

   keytool -genkeypair -keyalg RSA -keystore vdtServerKeystore.p12 -storepass <unlock-password>

3. 次のコマンドを使用してサーバー・キーストアを証明書にエクスポートします

   keytool -exportcert -keystore vdtServerKeystore.p12 -storepass <unlock-password> -file vdtServer.crt

4. 次のコマンドを使用して、証明書をCRT形式からPEM形式に変換します:

   openssl x509 -in vdtServer.crt -outform PEM -out vdtServer.pem -inform DER

NSK Cエージェント証明書のサーバー・トラストストアへのインポート

1. <Server_installation_location>/configディレクトリに移動し、NSK Cエージェント証明書をこのディレクトリにコピーします。
2. 次のコマンドを実行して、サーバー・トラストストアを作成し、NSK Cエージェント証明書をこのトラストストアにインポートします:

   keytool -importcert -file <nsk-agent-certificate-file> -alias vdtAgent.crt.<unique-id> -keystore vdtServerTruststore.p12 -storepass <unlock-password>

   ノート:

   複数のnsk cエージェント証明書をサーバー・トラストストアにインポートする場合は、各nsk cエージェント証明書に一意の-alias値を割り当てます。
3. <Server_installation_location>/configディレクトリのnsk cエージェント証明書を削除します

サーバー・ウォレットへのサーバー・キーストア/トラストストア・パスワードの保存

<Server_installation_location>/configディレクトリで、次のスクリプトconfigure_server_ssl.shを実行します。

./configure_server_ssl.sh OGGV-80056: Copyright (c) 2013, 2024, Oracle and/or its affiliates. All rights reserved. OGGV-80057: Veridata Server SSL Configuration Utility OGGV-80058: Notes: OGGV-80059: This utility allows Veridata to access keystore and truststore. When entering the passwords below, unlock password should match the one used in keytool -storepass option. [OGGV-80060: Enter Server Keystore unlock password:] OGGV-80062: Enter Server Truststore unlock password:]

NSK CエージェントでのSSL構成

SSLCAファイルは、NSK Cエージェントとともに配布される認証局ファイルです。SSLCERTファイルは、NSK Cエージェントのデフォルトの証明書です。

双方向SSL構成を成功させるには、NSK Cエージェントの証明書(SSLCERTなど)を次のようにする必要があります:

• Veridataサーバーのトラストストアにインポートします。
• NSK CエージェントのSSLCAファイルに追加します。

Veridataサーバー証明書によるSSLCAファイルの更新

1. OSS (POSIX環境)のviエディタを使用してSSLCAファイルを開きます。
2. Veridataサーバー証明書のpemファイル(たとえば、vdtServer.pem)の内容をSSLCAファイルの末尾に追加します。新しいVeridataサーバーの証明書を生成するステップの詳細は、サーバー・キーストアおよび証明書の生成を参照してください。

UIでのエージェント接続の作成

1. Veridata Webサイトにログインし、左側のパネルから「接続」ページに移動し、ページの右側にある「作成」をクリックします。
2. 必要な接続名およびエージェント・ホスト・マシンのアドレス/ポートを入力します。「通信にSSLを使用」チェックボックスを選択して接続に対してSSLを有効にし、「検証」をクリックして接続を確認します。
3. 「ユーザー名」、「パスワード」、「修復ユーザー」および「修復パスワード」は、NSK Cエージェント接続ではオプションです。「接続のテスト」ボタンは現在無効になっています。
4. 「送信」ボタンをクリックして接続を保存します。