TLSウォレットレス接続の準備

ウォレットなしで、データベース・アプリケーションまたはツールを専用Exadataインフラストラクチャ上のAutonomous AI Databaseに接続できます。ウォレット(TLS)なしでアプリケーションを接続すると、認証および暗号化のセキュリティが提供され、クライアント・オペレーティング・システム(OS)によって信頼されるセキュリティ証明書を使用してセキュリティが強制されます。

クライアント・ウォレットを使用しないTCPS接続は、次の要件が満たされている場合にのみ機能します。

1. 一方向TLS接続が有効になります。

   デフォルトでは、AVMCをプロビジョニングすると一方向TLS接続が有効になります。詳細は、Autonomous Exadata VMクラスタの作成を参照してください。

2. サーバーSSL証明書は、クライアントのオペレーティングシステムによって信頼されています。

   既知のパブリックCAによって署名された(BYOC)デジタルSSL証明書を使用して、デフォルトでクライアントOSによって信頼されるようにします。デジタル証明書がDigicertなどの既知のパブリックCAによって署名されていない場合は、クライアントOSが信頼するように証明書を手動で追加します。

   たとえば、Linux環境では、サーバーによって提示された証明書を/etc/ssl/certs/ca-bundle.crtファイルに追加します。

独自の証明書(BYOC)を持ち込むには、次の手順に従います。

• DigicertなどのパブリックCAからSSL証明書を取得します。詳細な手順は、追加情報を参照してください。

• OCI証明書サービスを使用してSSL証明書をシードします。「証明書の作成」を参照してください。

  これらの証明書は、PEM形式で署名されている必要があります。つまり、ファイル拡張子は.pem、.cerまたは.crtのみである必要があります。

• AVMCの「詳細」ページからアクセスできる「証明書の管理」ダイアログから、SSL証明書をAVMCに追加します。Autonomous Exadata VMクラスタのセキュリティ証明書の管理を参照してください。

追加情報

パブリックCAからSSL証明書を取得するステップの概要は次のとおりです。

1. ウォレットを作成します。

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. 署名リクエストを作成します(これにより、ウォレット内に秘密キーとリクエストされた証明書が作成されます)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. 署名リクエストのエクスポート

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. 署名要求ファイル cert.csrをCAの公開CAに送信して、それを検証し、ユーザー/リーフ証明書とチェーンを送り返します。

5. ウォレットにユーザー証明書とチェーン(ルート+中間証明書)を追加します。

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. ユーザー証明書、チェーン証明書および秘密キーをOracle Cloud Infrastructure (OCI)証明書サービスにアップロードします。次のコマンドを使用して、ウォレットから秘密キーを取得できます。

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts