Préparation des connexions sans portefeuille TLS

Vous pouvez connecter vos applications ou outils de base de données à une base de données Autonomous Database on Dedicated Exadata Infrastructure sans portefeuille. La connexion d'une application sans portefeuille (TLS) fournit la sécurité nécessaire pour l'authentification et le cryptage. La sécurité est assurée à l'aide d'un certificat de sécurité approuvé par le système d'exploitation client.

La connexion TCPS sans portefeuille client ne fonctionnera que si les conditions suivantes sont remplies :
  1. Les connexions TLS unidirectionnelles sont activées.

    Par défaut, les connexions TLS unidirectionnelles sont activées lorsque vous provisionnez un composant AVMC. Pour plus d'informations, reportez-vous à Création d'un cluster de machines virtuelles Exadata Autonomous.

  2. Le certificat SSL de serveur est approuvé par le système d'exploitation client.

    Utilisez un certificat SSL numérique (BYOC) signé par une autorité de certification publique connue afin qu'elle soit approuvée par le système d'exploitation client par défaut. Si le certificat numérique n'est pas signé par une autorité de certification publique connue telle que Digicert, ajoutez manuellement le certificat afin que le système d'exploitation client lui fasse confiance.

    Par exemple, dans un environnement Linux, ajoutez le certificat présenté par le serveur au fichier /etc/ssl/certs/ca-bundle.crt.

Pour utiliser votre propre certificat (BYOC), suivez les étapes décrites ci-dessous :
  • Obtenez un certificat SSL auprès d'une autorité de certification publique, telle que Digicert. Pour plus d'informations à ce sujet, reportez-vous à la section Additional Information.
  • Prédéfinissez le certificat SSL à l'aide du service de certificat OCI. Reportez-vous à la section Creating a Certificate.

    Ces certificats doivent être signés et au format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement.

  • Ajoutez le certificat SSL à votre AVMC à partir de la boîte de dialogue Gérer les certificats accessible à partir de la page Détails d'AVMC. Reportez-vous à Gestion des certificats de sécurité pour un cluster de machines virtuelles Exadata Autonomous.

Informations supplémentaires

Les principales étapes à suivre pour obtenir un certificat SSL à partir d'une autorité de certification publique sont les suivantes :
  1. Créer un portefeuille.

    WALLET_PWD=<password>
    
    CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
    
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
  2. Créer une demande de signature (cela crée une clé privée dans le portefeuille et un certificat demandé)
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
  3. Exporter la demande de signature
    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
  4. Envoyez le fichier de demande de signature cert.csr à l'autorité de certification publique pour qu'elle le valide et renvoie le certificat utilisateur/feuille et la chaîne.

  5. Ajouter le certificat utilisateur et la chaîne (certificats racine + intermédiaires) dans le portefeuille
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
  6. Téléchargez le certificat utilisateur, les certificats de chaîne et la clé privée vers le service de certificats Oracle Cloud Infrastructure (OCI). Vous pouvez obtenir la clé privée à partir du portefeuille à l'aide de la commande suivante :
    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts