TLS-Walletless-Verbindungen vorbereiten

Sie können Ihre Datenbankanwendungen oder -tools ohne Wallet mit einer Autonomous Database on Dedicated Exadata Infrastructure verbinden. Die Verbindung einer Anwendung ohne Wallet (TLS) bietet Sicherheit für Authentifizierung und Verschlüsselung. Die Sicherheit wird dabei mit einem Sicherheitszertifikat erzwungen, dem das Clientbetriebssystem (BS) vertraut.

Die TCPS-Verbindung ohne Verwendung eines Client-Wallets funktioniert nur, wenn die folgenden Anforderungen erfüllt sind:

1. Einseitige TLS-Verbindungen sind aktiviert.

   Standardmäßig sind einseitige TLS-Verbindungen aktiviert, wenn Sie einen AVMC bereitstellen. Weitere Informationen finden Sie unter Autonomous Exadata-VM-Cluster erstellen.

2. Dem Server-SSL-Zertifikat wird vom Clientbetriebssystem vertraut.

   Verwenden Sie ein (BYOC) digitales SSL-Zertifikat, das von einer bekannten öffentlichen CA signiert wurde, damit es standardmäßig vom Clientbetriebssystem als vertrauenswürdig eingestuft wird. Wenn das digitale Zertifikat nicht von einer bekannten öffentlichen CA wie Digicert signiert wird, fügen Sie das Zertifikat manuell hinzu, damit das Client-BS ihm vertraut.

   Beispiel: Fügen Sie in einer Linux-Umgebung das vom Server vorgestellte Zertifikat der Datei /etc/ssl/certs/ca-bundle.crt hinzu.

Um Ihr eigenes Zertifikat (BYOC) mitzubringen, führen Sie die unten beschriebenen Schritte aus:

• Holen Sie sich ein SSL-Zertifikat von einer öffentlichen CA, wie Digicert. Weitere Informationen finden Sie unter Weitere Informationen.

• Vordefinieren Sie das SSL-Zertifikat mit dem OCI Certificate Service. Weitere Informationen finden Sie unter Zertifikat erstellen.

  Diese Zertifikate müssen signiert sein und im PEM-Format vorliegen, d.h. ihre Dateierweiterung muss nur .pem, .cer oder .crt sein.

• Fügen Sie das SSL-Zertifikat über das Dialogfeld Zertifikate verwalten zu Ihrem AVMC hinzu, auf das Sie über die Seite Details von AVMC zugreifen können. Weitere Informationen finden Sie unter Sicherheitszertifikate für ein autonomes Exadata-VM-Cluster verwalten.

Weitere Informationen

Die allgemeinen Schritte zum Abrufen eines SSL-Zertifikats von einer öffentlichen CA sind:

1. Wallet erstellen.

   WALLET_PWD=<password>
   
   CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
   CERT_VALIDITY=365
   KEY_SIZE=2048
   SIGN_ALG="sha256"
   WALLET_DIR=$PWD
   ASYM_ALG="RSA"
   
   $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

2. Signieranforderung erstellen (erstellt einen Private Key im Wallet und ein angefordertes Zertifikat)

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
         -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

3. Signaturanforderung exportieren

   $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
         $WALLET_DIR/cert.csr

4. Senden Sie die Signaturanforderungsdatei cert.csr an die öffentliche CA, damit die CA sie validiert und das Benutzer-/Blattzertifikat und die Kette zurücksendet.

5. Hinzufügen des Benutzerzertifikats und der Kette (Root + Zwischenzertifikate) in das Wallet

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
         $WALLET_DIR/usercert.crt

6. Laden Sie das Benutzerzertifikat, die Kettenzertifikate und den Private Key in den Oracle Cloud Infrastructure-(OCI-)Certificate Service hoch. Sie können den Private Key mit dem folgenden Befehl aus dem Wallet abrufen:

   openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts

---

Titel und Copyright-Informationen

Copyright ©2024,2024,

Oracle und/oder verbundene Unternehmen.