Préparer pour les connexions sans portefeuille TLS
Vous pouvez connecter vos applications ou outils de base de données à une infrastructure Autonomous Database sur une infrastructure Exadata dédiée sans portefeuille. La connexion d'une application sans portefeuille (TLS) assure la sécurité pour l'authentification et le chiffrement, et la sécurité est appliquée à l'aide d'un certificat de sécurité approuvé par le système d'exploitation client.
-
Les connexions TLS unidirectionnelles sont activées.
Par défaut, les connexions TLS unidirectionnelles sont activées lorsque vous provisionnez une grappe de machines virtuelles autonome. Pour plus d'informations, voir Créer une grappe de machines virtuelles Exadata autonome.
-
Le certificat SSL du serveur est approuvé par le système d'exploitation client.
Utilisez un certificat SSL numérique (BYOC) signé par une autorité de certification publique bien connue afin qu'il soit approuvé par le système d'exploitation client par défaut. Si le certificat numérique n'est pas signé par une autorité de certification publique bien connue telle que Digicert, ajoutez manuellement le certificat afin que le système d'exploitation client lui fasse confiance.
Par exemple, dans un environnement Linux, ajoutez le certificat présenté par le serveur au fichier
/etc/ssl/certs/ca-bundle.crt.
- Obtenez un certificat SSL à partir d'une autorité de certification publique, telle que Digicert. Voir Informations supplémentaires pour des instructions détaillées.
-
Prédéfinissez le certificat SSL à l'aide du service de certificats OCI. Reportez-vous à la section Création d'un certificat.
Ces certificats doivent être signés et être dans le format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement.
- Ajoutez le certificat SSL à votre grappe de machines virtuelles autonome à partir de la boîte de dialogue Gérer les certificats accessible à partir de la page Détails de la grappe de machines virtuelles autonome. Consultez Gérer les certificats de sécurité pour une grappe de machines virtuelles Exadata autonome.
Informations supplémentaires
-
Créez un portefeuille.
WALLET_PWD=<password> CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US" CERT_VALIDITY=365 KEY_SIZE=2048 SIGN_ALG="sha256" WALLET_DIR=$PWD ASYM_ALG="RSA" $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login -
Créer une demande de signature (cela crée une clé privée dans le portefeuille et un certificat demandé)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG -
Exporter la demande de signature
$ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request $WALLET_DIR/cert.csr -
Envoyez le fichier de demande de signature cert.csr à l'autorité de certification publique pour que celle-ci le valide et renvoie le certificat d'utilisateur/feuille et la chaîne.
-
Ajouter le certificat utilisateur et la chaîne (racine + certificats intermédiaires) dans le portefeuille
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert $WALLET_DIR/usercert.crt -
Chargez le certificat d'utilisateur, les certificats de chaîne et la clé privée dans le service de certificats pour Oracle Cloud Infrastructure (OCI). Vous pouvez obtenir la clé privée à partir du portefeuille à l'aide de la commande suivante :
openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts