8.3 カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

前提条件

  • PATH環境変数に、keytoolが配置されているJDK 17のbinディレクトリへのパスが含まれていることを確認します。
  • キーストアは、以前のリリースではアイデンティティ・ストアとも呼ばれていました。
  • HP NonStopについては、VeridataサーバーでのNSK Cエージェントの双方向SSLの構成を参照してください。

カスタム証明書を使用した双方向SSLの構成:

親トピック: セキュリティ保護

8.3.1 カスタム証明書のコピー

カスタム証明書は通常、3つのタイプがあり、.pem形式です。
  • 秘密キー
  • サーバー証明書
  • CA証明書
  1. 3つのサーバー・カスタム証明書をすべて<Server_installation_location>/configディレクトリにコピーします
  2. CA証明書の名前をca_server.pemに変更します
  3. 3つのエージェント・カスタム証明書をすべて<AGENT_DEPLOY_LOCATION>/config/certsディレクトリにコピーします
  4. CA証明書の名前をca_agent.pemに変更します

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.2 エージェント・プロパティ・ファイルでのSSLの有効化

エージェント・プロパティ・ファイルでSSLを有効にするには:
  1. <AGENT_DEPLOY_LOCATION>/<AGENT PROPERTIES>ファイルを開きます。デフォルトの<AGENT PROPERTIES>agent.propertiesです。
  2. エントリserver.useSslを見つけて、trueに設定して、変更を保存します。

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.3 エージェント・キーストアおよびトラストストアの生成

エージェント・キーストアを生成するには

  1. <AGENT_DEPLOY_LOCATION>/config/certsディレクトリに移動します。これには、3つの.pemファイルが含まれています。
  2. 次のコマンドを実行します。
    openssl pkcs12 -export \
-in agent-cert.pem \
-inkey agent-key.pem \
-certfile ca_agent.pem \
-out vdtAgentKeystore.p12 \
-name <alias> \
-passout pass:<password>

ノート:

複数のエージェント証明書をサーバー・トラストストアにインポートする場合は、各エージェント証明書に一意の-alias値を割り当てます。

このコマンドは、 <AGENT_DEPLOY_LOCATION>/config/certsディレクトリにvdtAgentKeystore.p12を生成します。

エージェント・トラストストアを生成するには

  1. ca_server.pemをサーバー・ノード(<Server_installation_location>/config)から<AGENT_DEPLOY_LOCATION>/config/certsディレクトリにコピーします。
  2. ca_server.pemの名前をca_server.crtに変更します。
  3. 次のコマンドを実行します。
    keytool -importcert -file ca_server.crt -alias <alias> -keystore 
vdtAgentTruststore.p12 -storepass <password>

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.4 エージェント・ウォレットへのエージェント・キーストア/トラストストアのパスワードの保存

  1. <AGENT_DEPLOY_LOCATION>ディレクトリでスクリプトconfigure_agent_ssl.shを実行します。パラメータAgentIDは、.properties拡張子なしのエージェント・プロパティ・ファイルの名前です:
    ./configure_agent_ssl.sh AgentID
2024-08-30 11:21:25.782 TRACE OGGV-80018 Wallet messages are installed correctly.
OGGV-80028: Copyright (c) 2013, 2024, Oracle and/or its affiliates. All rights reserved.
OGGV-80029: Veridata Agent SSL Configuration Utility
OGGV-80030: Notes:
OGGV-80031: OGGV-80031: This utility allows Veridata to access keystore and truststore. When entering the passwords  below, unlock password should match the one used in keytool -storepass  option.
[OGGV-80022: Enter Agent Keystore Store unlock password:]
[OGGV-80024: Enter Agent Trust Store unlock password:]
OGGV-80037: SSL Configuration of Veridata Agent is successful.
  2. <AGENT_DEPLOY_LOCATION>/config/certsからca_server.crtを削除します。

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.5 サーバー・キーストアおよびトラストストアの生成

サーバー・キーストアを生成するには

  1. <Server_installation_location>/configディレクトリに移動します。これには、カスタム証明書のコピー中にコピーされる3つの.pemファイルが含まれています。
  2. 次のコマンドを実行します。
    openssl pkcs12 -export \
  -in vdtServer.pem \
  -inkey server-key.pem \
  -certfile ca_server.pem \
  -out vdtServerKeystore.p12 \
  -name <alias> \
  -passout pass:<password>
    このコマンドは、<Server_installation_location>/configvdtServerKeystore.p12を生成します。

ノート:

複数のサーバー証明書をエージェント・トラストストアにインポートする場合は、各サーバー証明書に一意の-alias値を割り当てます。通常、Oracle GoldenGate Veridataサーバーは1つのみであるため、これはあまり一般的ではありません。

サーバー・トラストストアを生成するには

  1. ca_agent.pemをエージェント・ノード(<AGENT_DEPLOY_LOCATION>/config/certs)から<Server_installation_location>/configディレクトリにコピーします。
  2. ca_agent.pemの名前をca_agent.crtに変更します。
  3. 次のコマンドを実行します 
    keytool -importcert -file ca_agent.crt -alias <alias> -keystore 
vdtServerTruststore.p12 -storepass <password>
    このコマンドは、<Server_installation_location>/configディレクトリにvdtServerTruststore.p12を生成します。

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.6 サーバー・ウォレットへのサーバー・キーストア/トラストストアのパスワードの保存

  1. <Server_installation_location>/configディレクトリで、次のスクリプト(configure_server_ssl.sh)を実行します:
    ./configure_server_ssl.sh
OGGV-80056: Copyright (c) 2013, 2024, Oracle and/or its affiliates. All rights reserved.
OGGV-80057: Veridata Server SSL Configuration Utility
OGGV-80058: Notes:
OGGV-80059: OGGV-80059: This utility allows Veridata to access keystore and truststore. When entering the passwords below, unlock password should match the one used in keytool -storepass option
[OGGV-80060: Enter Server Keystore unlock password:]
[OGGV-80062: Enter Server Truststore unlock password:]
  2. <Server_installation_location>/configディレクトリからca_agent.crtを削除します。

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成

8.3.7 UIでのエージェント接続の作成

  1. Veridata UIにログインし、「接続」ページに移動し、「作成」をクリックします。必要な接続名およびエージェント・ホスト・マシンのアドレス/ポートを入力します。「通信にSSLを使用」チェック・ボックスを選択して接続に対してSSLを有効にし、「検証」をクリックして接続を確認します。
  2. データベースのユーザー名とパスワードを入力し、「接続のテスト」をクリックして資格証明を検証します。修復に異なる資格証明が必要な場合は、「修復用データ・ソース接続資格証明の使用」チェックボックスの選択を解除して、修復の資格証明を入力します。
  3. 「送信」をクリックして、接続を保存します。
すべてのパラメータの詳細は、「接続の作成」を参照してください。

親トピック: カスタム証明書を使用したOracle GoldenGate Veridata 23cでの双方向SSLのワークフローの構成