Preparazione per le connessioni senza wallet TLS

Puoi connettere le tue applicazioni o i tuoi strumenti di database a un Autonomous AI Database su un'infrastruttura Exadata dedicata senza un wallet. La connessione di un'applicazione senza un wallet (TLS) fornisce sicurezza per l'autenticazione e la cifratura e la sicurezza viene applicata utilizzando un certificato di sicurezza attendibile dal sistema operativo client.

La connessione TCPS senza utilizzare un wallet client funzionerà solo quando vengono soddisfatti i seguenti requisiti:

1. Le connessioni TLS unidirezionali sono abilitate.

   Per impostazione predefinita, le connessioni TLS unidirezionali sono abilitate quando si esegue il provisioning di un AVMC. Per ulteriori informazioni, vedere Creare un cluster VM Autonomous Exadata.

2. Il certificato SSL del server viene considerato attendibile dal sistema operativo del client.

   Utilizza un certificato SSL digitale (BYOC) firmato da una nota CA pubblica in modo che sia attendibile dal sistema operativo del client per impostazione predefinita. Se il certificato digitale non è firmato da una CA pubblica nota, ad esempio Digicert, aggiungere manualmente il certificato in modo che il sistema operativo del client lo ritenga affidabile.

   Ad esempio, in un ambiente Linux, aggiungere il certificato presentato dal server al file /etc/ssl/certs/ca-bundle.crt.

Per portare il tuo certificato (BYOC), segui i passaggi descritti di seguito:

• Ottenere un certificato SSL da una CA pubblica, ad esempio Digicert. Per istruzioni dettagliate, vedere Informazioni aggiuntive.

• Popola il certificato SSL utilizzando il servizio certificati OCI. Fare riferimento alla sezione Creazione di un buono.

  Questi certificati devono essere firmati e devono essere in formato PEM, ovvero l'estensione del file deve essere .pem, .cer o .crt.

• Aggiungere il certificato SSL all'AVMC dalla finestra di dialogo Gestisci certificati accessibile dalla pagina Dettagli di AVMC. Vedere Gestisci certificati di sicurezza per un cluster VM Autonomous Exadata.

Ulteriori infomazioni

Di seguito sono riportati i passi di alto livello necessari per ottenere un certificato SSL da una CA pubblica.

1. Creare un wallet

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. Creare una richiesta di firma (creando una chiave privata all'interno del wallet e un certificato richiesto)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. Esportare la richiesta di firma

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. Inviare il file di richiesta di firma cert.csr alla CA pubblica per la CA per convalidarlo e inviare di nuovo il certificato utente/foglia e la catena.

5. Aggiungere il certificato utente e la catena (root + certificati intermedi) nel wallet

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. Caricare il certificato utente, i certificati catena e la chiave privata nel servizio certificati Oracle Cloud Infrastructure (OCI). È possibile ottenere la chiave privata dal wallet utilizzando il comando seguente:

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts