準備 TLS 無公事包連線

您可以將資料庫應用程式或工具連線至專用 Exadata 基礎架構上的 Autonomous Database ,無須使用公事包。在沒有公事包 (TLS) 的情況下連線應用程式可提供認證與加密的安全,並且使用從屬端作業系統 (OS) 信任的安全憑證來強制實行安全憑證。

未使用從屬端公事包的 TCPS 連線只有在符合下列需求時才能運作:
  1. 已啟用單向 TLS 連線。

    依照預設,佈建 AVMC 時會啟用單向 TLS 連線。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。

  2. 伺服器 SSL 憑證受用戶端作業系統信任。

    使用已知公用 CA 簽署的 (BYOC) 數位 SSL 憑證,讓從屬端作業系統預設信任該憑證。如果數位憑證不是由已知的公用 CA (例如 Digicert) 簽署,請手動新增憑證,讓用戶端作業系統信任它。

    例如,在 Linux 環境中,將伺服器提供的憑證新增至 /etc/ssl/certs/ca-bundle.crt 檔案。

若要自備憑證 (BYOC),請依照下列步驟進行:
  • 從公用 CA 取得 SSL 憑證,例如 Digicert。如需詳細資訊,請參閱 Additional Information
  • 使用「OCI 憑證服務」內建 SSL 憑證。請參閱建立憑證

    這些憑證必須是 PEM 格式的簽署憑證,亦即其副檔名必須是 .pem、.cer 或 .crt。

  • 從可從 AVMC 詳細資訊頁面存取的管理憑證對話方塊,將 SSL 憑證新增至您的 AVMC。請參閱管理自治式 Exadata VM 叢集的安全憑證

其他資訊

從公用 CA 取得 SSL 憑證時所涉及的高階步驟如下:
  1. 建立公事包。

    WALLET_PWD=<password>
    
    CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
    CERT_VALIDITY=365
    KEY_SIZE=2048
    SIGN_ALG="sha256"
    WALLET_DIR=$PWD
    ASYM_ALG="RSA"
    
    $ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
  2. 建立簽署要求 (這會在公事包內建立一個私密金鑰和要求的憑證)
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
          -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
  3. 匯出簽署要求
    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
          $WALLET_DIR/cert.csr
  4. 將簽署要求檔案 cert.csr 傳送至 CA 的公用 CA,以驗證它並傳回使用者 / 葉憑證和鏈結。

  5. 在公事包中新增使用者憑證和鏈 (根憑證 + 中繼憑證)
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
          $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
          $WALLET_DIR/usercert.crt
  6. 將使用者憑證、鏈結憑證及私密金鑰上傳至 Oracle Cloud Infrastructure (OCI) 憑證服務。您可以使用下列命令從公事包取得私密金鑰:
    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts