TLS 전자 지갑 없는 접속 준비

데이터베이스 애플리케이션 또는 도구를 지갑 없이 전용 Exadata 인프라의 Autonomous Database에 연결할 수 있습니다. 전자 지갑(TLS) 없이 응용 프로그램을 연결하면 인증 및 암호화를 위한 보안이 제공되며, 클라이언트 운영 체제(OS)에서 신뢰하는 보안 인증서를 사용하여 보안이 적용됩니다.

클라이언트 전자 지갑을 사용하지 않는 TCPS 연결은 다음 요구 사항이 충족되는 경우에만 작동합니다.

1. 단방향 TLS 연결이 사용으로 설정됩니다.

   기본적으로 단방향 TLS 연결은 AVMC를 프로비전할 때 사용으로 설정됩니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.

2. 서버 SSL 인증서는 클라이언트 운영 체제에서 신뢰합니다.

   클라이언트 OS에서 기본적으로 신뢰되도록 잘 알려진 공용 CA가 서명한 (BYOC) 디지털 SSL 인증서를 사용합니다. 디지털 인증서가 Digicert와 같이 잘 알려진 공용 CA에 의해 서명되지 않은 경우 클라이언트 OS가 신뢰하도록 인증서를 수동으로 추가합니다.

   예를 들어, Linux 환경에서 서버가 제공하는 인증서를 /etc/ssl/certs/ca-bundle.crt 파일에 추가합니다.

BYOC(자체 인증서)를 가져오려면 아래 설명된 단계를 따르십시오.

• Digicert와 같은 공용 CA에서 SSL 인증서를 가져옵니다. 자세한 내용은 Additional Information를 참조하십시오.

• OCI 인증서 서비스를 사용하여 SSL 인증서를 시드합니다. 인증서 생성을 참조하십시오.

  이러한 인증서는 서명되어야 하고 PEM 형식이어야 합니다. 즉, 해당 파일 확장자는 .pem, .cer 또는 .crt여야 합니다.

• AVMC 세부정보 페이지에서 액세스할 수 있는 인증서 관리 대화 상자에서 AVMC에 SSL 인증서를 추가합니다. Manage Security Certificates for an Autonomous Exadata VM Cluster를 참조하십시오.

추가 정보

공용 CA에서 SSL 인증서를 가져오는 것과 관련된 상위 레벨 단계는 다음과 같습니다.

1. 전자 지갑 생성.

   WALLET_PWD=<password>
   
   CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
   CERT_VALIDITY=365
   KEY_SIZE=2048
   SIGN_ALG="sha256"
   WALLET_DIR=$PWD
   ASYM_ALG="RSA"
   
   $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

2. 서명 요청 생성(전자 지갑 내에 프라이빗 키와 요청된 인증서 생성)

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
         -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

3. 서명 요청 익스포트

   $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
         $WALLET_DIR/cert.csr

4. 서명 요청 파일 cert.csr을 CA의 공용 CA로 보내 검증하고 사용자/리프 인증서 및 체인을 다시 보냅니다.

5. 전자 지갑에 유저 인증서 및 체인(루트 + 중간 인증서) 추가

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
         $WALLET_DIR/usercert.crt

6. 사용자 인증서, 체인 인증서 및 개인 키를 Oracle Cloud Infrastructure(OCI) 인증서 서비스에 업로드합니다. 다음 명령을 사용하여 전자 지갑(wallet)에서 전용(private) 키를 가져올 수 있습니다.

   openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts

---

제목 및 저작권 정보

Copyright ©2024,2024,

Oracle and/or its affiliates.