Prepara connessioni senza wallet TLS
È possibile connettere le applicazioni o gli strumenti del database a un'infrastruttura Autonomous Database on Dedicated Exadata senza un wallet. La connessione di un'applicazione senza wallet (TLS) garantisce la sicurezza per l'autenticazione e la cifratura e la sicurezza viene applicata utilizzando un certificato di sicurezza accettato come sicuro dal sistema operativo (OS) del client.
-
Le connessioni TLS unidirezionali sono abilitate.
Per impostazione predefinita, le connessioni TLS unidirezionali vengono abilitate quando si esegue il provisioning di un AVMC. Per ulteriori informazioni, vedere Creare un cluster VM Autonomous Exadata.
-
Il certificato SSL del server è attendibile dal sistema operativo client.
Utilizzare un certificato SSL digitale (BYOC) firmato da una CA pubblica ben nota in modo che venga accettato come sicuro dal sistema operativo client per impostazione predefinita. Se il certificato digitale non è firmato da un'autorità di certificazione pubblica ben nota, ad esempio Digicert, aggiungere manualmente il certificato in modo che il sistema operativo client lo consideri attendibile.
Ad esempio, in un ambiente Linux, aggiungere il certificato presentato dal server al file
/etc/ssl/certs/ca-bundle.crt.
- Ottenere un certificato SSL da una CA pubblica, ad esempio Digicert. Per istruzioni dettagliate, vedere Ulteriori informazioni.
-
Popola il certificato SSL utilizzando il servizio certificati OCI. Vedere Creazione di un certificato.
Questi certificati devono essere firmati e devono essere in formato PEM, ovvero la loro estensione file deve essere solo .pem, .cer o .crt.
- Aggiungere il certificato SSL a AVMC dalla finestra di dialogo Gestisci certificati accessibile dalla pagina Dettagli di AVMC. Fare riferimento alla sezione Gestisci certificati di sicurezza per un cluster VM Autonomous Exadata.
Ulteriori infomazioni
-
Creare un wallet.
WALLET_PWD=<password> CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US" CERT_VALIDITY=365 KEY_SIZE=2048 SIGN_ALG="sha256" WALLET_DIR=$PWD ASYM_ALG="RSA" $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login -
Crea una richiesta di firma (in questo modo viene creata una chiave privata all'interno del wallet e un certificato richiesto)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG -
Esporta la richiesta di firma
$ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request $WALLET_DIR/cert.csr -
Inviare il file di richiesta di firma cert.csr alla CA pubblica per la CA per convalidarlo e inviare di nuovo il certificato utente/foglia e la catena.
-
Aggiungere il certificato utente e la catena (radice + certificati intermedi) nel wallet
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert $WALLET_DIR/usercert.crt -
Caricare il certificato utente, i certificati concatenati e la chiave privata nel servizio di certificati Oracle Cloud Infrastructure (OCI). È possibile ottenere la chiave privata dal wallet utilizzando il seguente comando:
openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts