TLS 전자 지갑 없는 연결 준비

데이터베이스 애플리케이션 또는 도구를 전자 지갑 없이 전용 Exadata 인프라의 자율운영 AI 데이터베이스에 연결할 수 있습니다. 전자 지갑(TLS) 없이 응용 프로그램을 연결하면 인증 및 암호화에 대한 보안이 제공되며, OS(클라이언트 운영 체제)에서 신뢰할 수 있는 보안 인증서를 사용하여 보안이 적용됩니다.

클라이언트 전자 지갑을 사용하지 않는 TCPS 연결은 다음 요구 사항이 충족되는 경우에만 작동합니다.

1. 단방향 TLS 연결이 사용으로 설정됩니다.

   기본적으로 단방향 TLS 연결은 AVMC를 프로비전할 때 사용으로 설정됩니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.

2. 서버 SSL 인증서는 클라이언트 운영 체제에서 신뢰합니다.

   잘 알려진 공용 CA에서 서명한 (BYOC) 디지털 SSL 인증서를 사용하여 클라이언트 OS에서 기본적으로 신뢰할 수 있도록 합니다. 디지털 인증서가 Digicert와 같이 잘 알려진 공용 CA에 의해 서명되지 않은 경우 클라이언트 OS가 신뢰할 수 있도록 수동으로 인증서를 추가합니다.

   예를 들어, Linux 환경에서 서버가 제공한 인증서를 /etc/ssl/certs/ca-bundle.crt 파일에 추가합니다.

BYOC(자체 인증서)를 가져오려면 아래에 설명된 단계를 수행합니다.

• Digicert와 같은 공용 CA에서 SSL 인증서를 가져옵니다. 자세한 지침은 추가 정보를 참조하십시오.

• OCI 인증서 서비스를 사용하여 SSL 인증서를 초기 설정합니다. 인증서 생성을 참조하십시오.

  이러한 인증서는 서명되어야 하며 PEM 형식이고 서명되어야 합니다. 즉, 파일 확장자는 .pem, .cer 또는 .crt이어야 합니다.

• AVMC 세부정보 페이지에서 액세스할 수 있는 인증서 관리 대화상자에서 AVMC에 SSL 인증서를 추가합니다. Manage Security Certificates for an Autonomous Exadata VM Cluster을 참조하십시오.

추가 정보

공용 CA에서 SSL 인증서를 가져오는 것과 관련된 대략적인 단계는 다음과 같습니다.

1. 전자지갑을 생성합니다.

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. 서명 요청 생성(전자 지갑 및 요청된 인증서 내에 전용 키 생성)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. 서명 요청 익스포트

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. CA가 서명 요청 파일 cert.csr을 검증하고 사용자/리프 인증서 및 체인을 다시 전송할 수 있도록 공용 CA에 보냅니다.

5. 전자 지갑에 사용자 인증서 및 체인(루트 + 중간 인증서) 추가

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. 사용자 인증서, 체인 인증서 및 개인 키를 OCI(Oracle Cloud Infrastructure) 인증서 서비스로 업로드합니다. 다음 명령을 사용하여 전자 지갑에서 전용(private) 키를 가져올 수 있습니다.

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts