Préparation des connexions sans portefeuille TLS

Vous pouvez connecter vos applications ou outils de base de données à une base de données Autonomous AI sur une infrastructure Exadata dédiée sans portefeuille. La connexion d'une application sans portefeuille (TLS) assure la sécurité de l'authentification et du cryptage, et la sécurité est appliquée à l'aide d'un certificat de sécurité approuvé par le système d'exploitation client.

La connexion TCPS sans utiliser de portefeuille client ne fonctionnera que si les conditions suivantes sont remplies :

Les connexions TLS unidirectionnelles sont activées.

Par défaut, les connexions TLS unidirectionnelles sont activées lorsque vous provisionnez un AVMC. Pour plus d'informations, reportez-vous àCréation d'un cluster de machines virtuelles Exadata Autonomous.
Le certificat SSL du serveur est approuvé par le système d'exploitation client.

Utilisez un certificat SSL numérique (BYOC) signé par une autorité de certification publique connue pour qu'il soit approuvé par le système d'exploitation client par défaut. Si le certificat numérique n'est pas signé par une autorité de certification publique connue telle que Digicert, ajoutez manuellement le certificat afin que le système d'exploitation client le fasse confiance.

Par exemple, dans un environnement Linux, ajoutez le certificat présenté par le serveur au fichier /etc/ssl/certs/ca-bundle.crt.

Pour utiliser votre propre certificat (BYOC), procédez comme suit :

Obtenez un certificat SSL auprès d'une autorité de certification publique, telle que Digicert. Pour obtenir des instructions détaillées, reportez-vous à Informations supplémentaires.
Prédéfinissez le certificat SSL à l'aide du service de certificat OCI. Reportez-vous à Création d'un certificat.

Ces certificats doivent être signés et au format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement.
Ajoutez le certificat SSL à votre système AVMC à partir de la boîte de dialogue Gérer les certificats accessible à partir de la page Détails d'AVMC. Reportez-vous à Gestion des certificats de sécurité pour un cluster d'unités virtuelles Exadata Autonomous.

Informations supplémentaires

Les principales étapes à suivre pour obtenir un certificat SSL à partir d'une autorité de certification publique sont les suivantes :

Créer un portefeuille

 WALLET_PWD=<password>

 CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
 CERT_VALIDITY=365
 KEY_SIZE=2048
 SIGN_ALG="sha256"
 WALLET_DIR=$PWD
 ASYM_ALG="RSA"

 $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

Créer une demande de signature (création d'une clé privée dans le portefeuille et d'un certificat demandé)

 $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD

       -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

Exporter la demande de signature

 $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
       $WALLET_DIR/cert.csr

Envoyez le fichier de demande de signature cert.csr à l'autorité de certification publique pour qu'elle le valide et renvoie le certificat utilisateur/feuille et la chaîne.

Ajouter le certificat utilisateur et la chaîne (racine + certificats intermédiaires) dans le portefeuille

 $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
       $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
       $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
       $WALLET_DIR/usercert.crt

Téléchargez le certificat utilisateur, les certificats de chaîne et la clé privée vers le service de certificats Oracle Cloud Infrastructure (OCI). Vous pouvez obtenir la clé privée à partir du portefeuille à l'aide de la commande suivante :
```
 openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts
```