Preparación para conexiones sin cartera TLS

Puede conectar las aplicaciones o herramientas de base de datos a una instancia de Autonomous Database en una infraestructura de Exadata dedicada sin una cartera. La conexión de una aplicación sin una cartera (TLS) proporciona seguridad para la autenticación y el cifrado. Además, la seguridad se aplica mediante un certificado de seguridad de confianza del sistema operativo (SO) del cliente.

La conexión TCPS sin utilizar una cartera de cliente solo funcionará cuando se cumplan los siguientes requisitos:

1. Las conexiones TLS unidireccionales están activadas.

   Por defecto, las conexiones TLS unidireccionales se activan al aprovisionar un AVMC. Consulte Creación de un cluster de VM de Exadata autónomo para obtener más información.

2. El sistema operativo cliente confía en el certificado SSL del servidor.

   Utilice un certificado SSL digital (BYOC) firmado por una CA pública conocida para que el sistema operativo del cliente confíe de forma predeterminada. Si el certificado digital no está firmado por una autoridad de certificación pública conocida como Digicert, agregue manualmente el certificado para que el sistema operativo del cliente confíe en él.

   Por ejemplo, en un entorno Linux, agregue el certificado presentado por el servidor al archivo /etc/ssl/certs/ca-bundle.crt.

Para traer su propio certificado (BYOC), siga los pasos descritos a continuación:

• Obtenga un certificado SSL de una CA pública, como Digicert. Consulte Información adicional para obtener instrucciones detalladas.

• Predefinir el certificado SSL mediante el servicio de certificados de OCI. Consulte Creación de un certificado.

  Estos certificados deben estar firmados y tener formato PEM, es decir, su extensión de archivo debe ser solo .pem, .cer o .crt.

• Agregue el certificado SSL a AVMC desde el cuadro de diálogo Gestionar certificados al que se puede acceder desde la página Detalles de AVMC. Consulte Gestión de certificados de seguridad para un cluster de VM de Exadata autónomo.

Información adicional

Los pasos generales para obtener un certificado SSL de una CA pública son:

1. Crear carteras.

   WALLET_PWD=<password>
   
   CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
   CERT_VALIDITY=365
   KEY_SIZE=2048
   SIGN_ALG="sha256"
   WALLET_DIR=$PWD
   ASYM_ALG="RSA"
   
   $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

2. Crear una solicitud de firma (crea una clave privada dentro de la cartera y un certificado solicitado)

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
         -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

3. Exportar la solicitud de firma

   $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
         $WALLET_DIR/cert.csr

4. Envíe el archivo de solicitud de firma cert.csr a la CA pública para que la CA lo valide y devuelva el certificado de hoja/usuario y la cadena.

5. Agregar el certificado de usuario y la cadena (raíz + certificados intermedios) en la cartera

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
         $WALLET_DIR/usercert.crt

6. Cargue el certificado de usuario, los certificados de cadena y la clave privada en el servicio de certificado de Oracle Cloud Infrastructure (OCI). Puede obtener la clave privada de la cartera mediante el siguiente comando:

   openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts

---

Título e Información de Copyright

Copyright ©2024,2024,

Oracle y/o sus filiales.