Preparar para Conexões sem Wallet de TLS

Você pode conectar seus aplicativos ou ferramentas de banco de dados a um Autonomous AI Database na Infraestrutura Dedicada do Exadata sem uma wallet. A conexão de um aplicativo sem uma wallet (TLS) fornece segurança para autenticação e criptografia, e a segurança é imposta usando um certificado de segurança confiável pelo sistema operacional (SO) do cliente.

A conexão TCPS sem usar uma wallet de cliente só funcionará quando os seguintes requisitos forem atendidos:

1. Conexões TLS unidirecionais são ativadas.

   Por padrão, conexões TLS unidirecionais são ativadas quando você provisiona um AVMC. Consulte Create an Autonomous Exadata VM Cluster para mais informações.

2. O certificado SSL do servidor é considerado confiável pelo sistema operacional do cliente.

   Use um certificado SSL digital (BYOC) assinado por uma CA pública bem conhecida para que seja confiável pelo sistema operacional do cliente por padrão. Se o certificado digital não for assinado por uma CA pública bem conhecida, como Digicert, adicione manualmente o certificado para que o sistema operacional do cliente confie nele.

   Por exemplo, em um ambiente Linux, adicione o certificado apresentado pelo servidor ao arquivo /etc/ssl/certs/ca-bundle.crt.

Para trazer seu próprio certificado (BYOC), siga as etapas descritas abaixo:

• Obtenha um certificado SSL de uma CA pública, como Digicert. Consulte Informações Adicionais para obter instruções detalhadas.

• Pré-implante o certificado SSL usando o OCI Certificate Service. Consulte Criando um Certificado.

  Esses certificados devem ser assinados e devem estar no formato PEM, ou seja, sua extensão de arquivos deve ser apenas .pem, .cer ou .crt.

• Adicione o certificado SSL ao seu AVMC na caixa de diálogo Gerenciar Certificados acessível na página Detalhes do AVMC. Consulte Gerenciar Certificados de Segurança para um Cluster da VM do Autonomous Exadata.

Informações Adicionais

As etapas de alto nível envolvidas na obtenção de um certificado SSL de uma CA pública são:

1. Crie uma wallet.

    WALLET_PWD=<password>
   
    CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
   
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
   

2. Criar uma solicitação de assinatura (isso cria uma chave privada dentro da wallet e um certificado solicitado)

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
   
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
   

3. Exportar a solicitação de assinatura

    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
   

4. Envie o arquivo de solicitação de assinatura cert.csr para a CA pública para que a CA o valide e envie de volta o certificado de usuário/folha e a cadeia.

5. Adicione o certificado do usuário e a cadeia (certificados raiz + intermediários) na wallet

    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
   

6. Faça upload do certificado do usuário, da cadeia de certificados e da chave privada para o Serviço de Certificado do OCI (Oracle Cloud Infrastructure). Você pode obter a chave privada da wallet usando o seguinte comando:

    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts