Preparación de Conexiones sin Cartera de TLS

Puede conectar sus aplicaciones o herramientas de base de datos a una base de datos de IA autónoma en una infraestructura de Exadata dedicada sin una cartera. La conexión de una aplicación sin una cartera (TLS) proporciona seguridad para la autenticación y el cifrado, y la seguridad se aplica mediante un certificado de seguridad de confianza por parte del sistema operativo (SO) del cliente.

La conexión TCPS sin utilizar una cartera de cliente solo funcionará cuando se cumplan los siguientes requisitos:

1. Las conexiones TLS unidireccionales están activadas.

   Por defecto, las conexiones TLS unidireccionales están activadas al aprovisionar un AVMC. Consulte Creación de un clúster de VM de Exadata autónomo para más información

2. El sistema operativo del cliente confía en el certificado SSL del servidor.

   Utilice un certificado SSL digital (BYOC) firmado por una autoridad de certificación pública conocida para que el sistema operativo del cliente confíe en él por defecto. Si el certificado digital no está firmado por una CA pública conocida, como Digicert, agregue manualmente el certificado para que el sistema operativo del cliente confíe en él.

   Por ejemplo, en un entorno Linux, agregue el certificado presentado por el servidor al archivo /etc/ssl/certs/ca-bundle.crt.

Para traer su propio certificado (BYOC), siga los pasos que se describen a continuación:

• Obtenga un certificado SSL de una CA pública, como Digicert. Consulte Información adicional para obtener instrucciones detalladas.

• Predefinir el certificado SSL mediante el servicio de certificados de OCI. Consulte Creación de un Certificado.

  Estos certificados deben estar firmados y estar en el formato PEM, es decir, la extensión del archivo debe ser .pem, .cer o .crt solamente.

• Agregue el certificado SSL a su AVMC desde el cuadro de diálogo Manage Certificates (Gestionar certificados), al que se puede acceder desde la página Details (Detalles) de AVMC. Consulte la sección sobre gestión de certificados de seguridad para un cluster Exadata VM autónomo.

Información adicional

Los pasos de alto nivel implicados en la obtención de un certificado SSL de una CA pública son:

1. Cree una cartera.

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. Crear una solicitud de firma (esto crea una clave privada dentro de la cartera y un certificado solicitado)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. Exportar la solicitud de firma

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. Envíe el archivo de solicitud de firma cert.csr a la CA pública para que la CA lo valide y devuelva el certificado de usuario/hoja y la cadena.

5. Agregar el certificado de usuario y la cadena (root + certificados intermedios) en la cartera

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. Cargue el certificado de usuario, los certificados de cadena y la clave privada en el servicio de certificados de Oracle Cloud Infrastructure (OCI). Puede obtener la clave privada de la cartera mediante el siguiente comando:

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts