TLS-Walletless-Verbindungen vorbereiten

Sie können Ihre Datenbankanwendungen oder -tools ohne Wallet mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verbinden. Die Verbindung einer Anwendung ohne Wallet (TLS) bietet Sicherheit für Authentifizierung und Verschlüsselung. Die Sicherheit wird mit einem Sicherheitszertifikat erzwungen, dem das Clientbetriebssystem (BS) vertraut.

TCPS-Verbindung ohne Verwendung eines Client-Wallets funktioniert nur, wenn die folgenden Anforderungen erfüllt sind:

1. Einseitige TLS-Verbindungen sind aktiviert.

   Standardmäßig werden unidirektionale TLS-Verbindungen aktiviert, wenn Sie einen AVMC bereitstellen. Weitere Informationen finden Sie unter Autonomes Exadata-VM-Cluster erstellen.

2. Das Server-SSL-Zertifikat wird vom Clientbetriebssystem als vertrauenswürdig eingestuft.

   Verwenden Sie ein digitales SSL-Zertifikat (BYOC), das von einer bekannten öffentlichen CA signiert wurde, damit es standardmäßig vom Clientbetriebssystem vertrauenswürdig ist. Wenn das digitale Zertifikat nicht von einer bekannten öffentlichen CA wie Digicert signiert wurde, fügen Sie das Zertifikat manuell hinzu, damit das Clientbetriebssystem es vertraut.

   Beispiel: Fügen Sie in einer Linux-Umgebung das vom Server vorgelegte Zertifikat zur Datei /etc/ssl/certs/ca-bundle.crt hinzu.

Um Ihr eigenes Zertifikat (BYOC) mitzubringen, führen Sie die folgenden Schritte aus:

• Holen Sie sich ein SSL-Zertifikat von einer öffentlichen CA, wie Digicert. Ausführliche Anweisungen finden Sie unter Zusätzliche Informationen.

• Vordefinieren Sie das SSL-Zertifikat mit dem OCI Certificate Service. Weitere Informationen finden Sie unter Zertifikat erstellen.

  Diese Zertifikate müssen signiert sein und das PEM-Format aufweisen, d.h. die Dateierweiterung muss .pem, .cer oder .crt lauten.

• Fügen Sie das SSL-Zertifikat über das Dialogfeld Zertifikate verwalten zu Ihrem AVMC hinzu, auf das Sie über die AVMC-Seite Details zugreifen können. Weitere Informationen finden Sie unter Sicherheitszertifikate für ein autonomes Exadata-VM-Cluster verwalten.

Weitere Informationen

Um ein SSL-Zertifikat von einer öffentlichen CA zu erhalten, gehen Sie wie folgt vor:

1. Wallet erstellen.

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. Signieranforderung erstellen (dadurch wird ein Private Key im Wallet und ein angefordertes Zertifikat erstellt)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. Signaturanforderung exportieren

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. Senden Sie die Signaturanforderungsdatei cert.csr an die öffentliche CA, damit die CA sie validiert und das Benutzer-/Blattzertifikat und die Kette zurücksendet.

5. Fügen Sie das Benutzerzertifikat und die Kette (Root + Zwischenzertifikate) in das Wallet ein

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. Laden Sie das Benutzerzertifikat, Kettenzertifikate und den Private Key in den Oracle Cloud Infrastructure-(OCI-)Zertifikatsservice hoch. Sie können den Private Key mit dem folgenden Befehl aus dem Wallet abrufen:

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts