準備 TLS 無公事包連線
您可以將資料庫應用程式或工具連線至專用 Exadata 基礎架構上的 Autonomous Database ,無須使用公事包。在沒有公事包 (TLS) 的情況下連線應用程式可提供認證與加密的安全,並且使用從屬端作業系統 (OS) 信任的安全憑證來強制實行安全憑證。
未使用從屬端公事包的 TCPS 連線只有在符合下列需求時才能運作:
-
已啟用單向 TLS 連線。
依照預設,佈建 AVMC 時會啟用單向 TLS 連線。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。
-
伺服器 SSL 憑證受用戶端作業系統信任。
使用已知公用 CA 簽署的 (BYOC) 數位 SSL 憑證,讓從屬端作業系統預設信任該憑證。如果數位憑證不是由已知的公用 CA (例如 Digicert) 簽署,請手動新增憑證,讓用戶端作業系統信任它。
例如,在 Linux 環境中,將伺服器提供的憑證新增至
/etc/ssl/certs/ca-bundle.crt
檔案。
若要自備憑證 (BYOC),請依照下列步驟進行:
- 從公用 CA 取得 SSL 憑證,例如 Digicert。如需詳細資訊,請參閱 Additional Information 。
-
使用「OCI 憑證服務」內建 SSL 憑證。請參閱建立憑證。
這些憑證必須是 PEM 格式的簽署憑證,亦即其副檔名必須是 .pem、.cer 或 .crt。
- 從可從 AVMC 詳細資訊頁面存取的管理憑證對話方塊,將 SSL 憑證新增至您的 AVMC。請參閱管理自治式 Exadata VM 叢集的安全憑證。
其他資訊
從公用 CA 取得 SSL 憑證時所涉及的高階步驟如下:
-
建立公事包。
WALLET_PWD=<password> CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US" CERT_VALIDITY=365 KEY_SIZE=2048 SIGN_ALG="sha256" WALLET_DIR=$PWD ASYM_ALG="RSA" $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
-
建立簽署要求 (這會在公事包內建立一個私密金鑰和要求的憑證)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
-
匯出簽署要求
$ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request $WALLET_DIR/cert.csr
-
將簽署要求檔案 cert.csr 傳送至 CA 的公用 CA,以驗證它並傳回使用者 / 葉憑證和鏈結。
-
在公事包中新增使用者憑證和鏈 (根憑證 + 中繼憑證)
$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -trusted_cert -cert $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert $WALLET_DIR/usercert.crt
-
將使用者憑證、鏈結憑證及私密金鑰上傳至 Oracle Cloud Infrastructure (OCI) 憑證服務。您可以使用下列命令從公事包取得私密金鑰:
openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts