Preparar para Conexões sem Wallet de TLS

Você pode conectar seus aplicativos ou ferramentas de banco de dados a um Autonomous Database em uma Infraestrutura Dedicada do Exadata sem uma wallet. A conexão de um aplicativo sem uma wallet (TLS) fornece segurança para autenticação e criptografia, e a segurança é imposta usando um certificado de segurança que é confiável pelo sistema operacional (SO) cliente.

A conexão TCPS sem usar uma wallet do cliente só funcionará quando os seguintes requisitos forem atendidos:

1. Conexões TLS unilaterais são ativadas.

   Por padrão, conexões TLS unidirecionais são ativadas quando você provisiona um AVMC. Consulte Criar um Cluster de VMs Autonomous Exadata para obter mais informações.

2. O certificado SSL do servidor é confiável pelo sistema operacional do cliente.

   Use um certificado SSL digital (BYOC) assinado por uma CA pública conhecida para que seja confiável pelo sistema operacional do cliente por padrão. Se o certificado digital não for assinado por uma CA pública bem conhecida, como Digicert, adicione manualmente o certificado para que o sistema operacional do cliente confie nele.

   Por exemplo, em um ambiente Linux, adicione o certificado apresentado pelo servidor ao arquivo /etc/ssl/certs/ca-bundle.crt.

Para trazer seu próprio certificado (BYOC), siga as etapas descritas abaixo:

• Obtenha um certificado SSL de uma CA pública, como o Digicert. Consulte Informações Adicionais para obter instruções detalhadas.

• Pré-implante o certificado SSL usando o Serviço de Certificado do OCI. Consulte Criando um Certificado.

  Esses certificados devem ser assinados e estar no formato PEM, ou seja, sua extensão de arquivo deve ser somente .pem, .cer ou .crt.

• Adicione o certificado SSL ao seu AVMC na caixa de diálogo Gerenciar Certificados acessível na página Detalhes do AVMC. Consulte Gerenciar Certificados de Segurança para um Cluster de VMs do Autonomous Exadata.

Informações Adicionais

As etapas de alto nível envolvidas na obtenção de um certificado SSL de uma CA pública são:

1. Criar um wallet.

   WALLET_PWD=<password>
   
   CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
   CERT_VALIDITY=365
   KEY_SIZE=2048
   SIGN_ALG="sha256"
   WALLET_DIR=$PWD
   ASYM_ALG="RSA"
   
   $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login

2. Criar uma solicitação de assinatura (isso cria uma chave privada dentro da wallet e um certificado solicitado)

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
         -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG

3. Exportar a solicitação de assinatura

   $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
         $WALLET_DIR/cert.csr

4. Envie o arquivo de solicitação de assinatura cert.csr para a CA pública para que a CA o valide e envie de volta o certificado de usuário/folha e a cadeia.

5. Adicione o certificado do usuário e a cadeia (raiz + certificados intermediários) na wallet

   $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
         $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
         $WALLET_DIR/usercert.crt

6. Faça upload do certificado do usuário, dos certificados de cadeia e da chave privada para o Serviço de Certificado do Oracle Cloud Infrastructure (OCI). Você pode obter a chave privada na wallet usando o seguinte comando:

   openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts

---

Título e Informações de Copyright

Copyright ©2024,2024,

Oracle e/ou suas empresas afiliadas.