Préparer les connexions sans portefeuille TLS

Vous pouvez connecter vos applications ou outils de base de données à une base de données autonome avec intelligence artificielle sur une infrastructure Exadata dédiée sans portefeuille. La connexion d'une application sans portefeuille (TLS) assure la sécurité pour l'authentification et le chiffrement, et la sécurité est mise en oeuvre à l'aide d'un certificat de sécurité approuvé par le système d'exploitation client.

La connexion TCPS sans l'utilisation d'un portefeuille client ne fonctionnera que lorsque les exigences suivantes seront satisfaites :

  1. Les connexions TLS unidirectionnelles sont activées.

    Par défaut, les connexions TLS unidirectionnelles sont activées lorsque vous provisionnez une machine virtuelle autonome. Pour plus d'informations, voir Créer une grappe de machines virtuelles Exadata autonome.

  2. Le certificat SSL du serveur est approuvé par le système d'exploitation client.

    Utilisez un certificat SSL numérique (BYOC) signé par une autorité de certification publique bien connue afin qu'il soit approuvé par le système d'exploitation client par défaut. Si le certificat numérique n'est pas signé par une autorité de certification publique bien connue, telle que Digicert, ajoutez manuellement le certificat afin que le système d'exploitation client y fasse confiance.

    Par exemple, dans un environnement Linux, ajoutez le certificat présenté par le serveur au fichier /etc/ssl/certs/ca-bundle.crt.

Pour apporter votre propre certificat (BYOC), suivez les étapes décrites ci-dessous :

Informations supplémentaires

Les étapes de haut niveau impliquées dans l'obtention d'un certificat SSL à partir d'une autorité de certification publique sont les suivantes :

  1. Créez un portefeuille.

     WALLET_PWD=<password>

 CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
 CERT_VALIDITY=365
 KEY_SIZE=2048
 SIGN_ALG="sha256"
 WALLET_DIR=$PWD
 ASYM_ALG="RSA"

 $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

  2. Créer une demande de signature (cela crée une clé privée dans le portefeuille et un certificat demandé)

     $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD

       -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

  3. Exporter la demande de signature

     $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
       $WALLET_DIR/cert.csr

  4. Envoyez le fichier de demande de signature cert.csr à l'autorité de certification publique pour l'autorité de certification afin de le valider et de renvoyer le certificat utilisateur/feuille et la chaîne.

  5. Ajouter le certificat utilisateur et la chaîne (racine + certificats intermédiaires) dans le portefeuille

     $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
       $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
       $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
       $WALLET_DIR/usercert.crt

  6. Chargez le certificat d'utilisateur, les certificats de chaîne et la clé privée dans le service de certificat Oracle Cloud Infrastructure (OCI). Vous pouvez obtenir la clé privée à partir du portefeuille à l'aide de la commande suivante :

     openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts