準備 TLS 無公事包連線
您可以將資料庫應用程式或工具連線至專用 Exadata 基礎架構上的自治式 AI 資料庫,而無須使用公事包。在不使用公事包 (TLS) 的情況下連線應用程式可提供認證和加密的安全,並且使用用戶端作業系統 (OS) 信任的安全憑證來強制實行安全。
未使用從屬端公事包的 TCPS 連線只有在符合下列要求時才能運作:
-
已啟用單向 TLS 連線。
佈建 AVMC 時,預設會啟用單向 TLS 連線。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。
-
伺服器 SSL 憑證受用戶端作業系統信任。
使用由已知公用 CA 簽署的 (BYOC) 數位 SSL 憑證,讓用戶端作業系統預設可信任該憑證。如果數位憑證不是由已知的公用 CA (例如 Digicert) 所簽署,請手動新增憑證,以便用戶端作業系統信任它。
例如,在 Linux 環境中,將伺服器提供的憑證新增至
/etc/ssl/certs/ca-bundle.crt檔案。
若要使用自己的憑證 (BYOC),請依照下列步驟進行:
-
從公用 CA 取得 SSL 憑證,例如 Digicert。如需詳細指示,請參閱其他資訊。
-
使用 OCI 憑證服務內建 SSL 憑證。請參考建立憑證。
這些憑證必須已簽署,且必須採用 PEM 格式,亦即,其副檔名必須僅為 .pem、.cer 或 .crt。
-
您可以從 AVMC 詳細資訊頁面存取的管理憑證對話方塊,將 SSL 憑證新增至 AVMC。請參閱管理自治式 Exadata VM 叢集的安全憑證。
其他資訊
從公用 CA 取得 SSL 憑證所涉及的高階步驟如下:
-
建立公事包。
WALLET_PWD=<password> CERT_DN=CERT_DN="CN=adb.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US" CERT_VALIDITY=365 KEY_SIZE=2048 SIGN_ALG="sha256" WALLET_DIR=$PWD ASYM_ALG="RSA" $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login -
建立簽署要求 (這會建立公事包內的私密金鑰和要求的憑證)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG -
匯出簽署要求
$ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request $WALLET_DIR/cert.csr -
將簽署要求檔案 cert.csr 傳送至 CA 的公用 CA 以進行驗證,並將使用者 / 分葉憑證和鏈結傳回。
-
在公事包中新增使用者憑證和鏈結 (根憑證 + 中介憑證)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert $WALLET_DIR/usercert.crt -
將使用者憑證、鏈結憑證和私密金鑰上傳至 Oracle Cloud Infrastructure (OCI) 憑證服務。您可以使用下列命令從公事包取得私密金鑰:
openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts