Oracle Cloud Infrastructureドキュメント

TLSウォレットレス接続の準備

ウォレットなしで専用Exadataインフラストラクチャ上のAutonomous Databaseにデータベース・アプリケーションまたはツールを接続できます。ウォレットなしのアプリケーションの接続(TLS)では、認証および暗号化のセキュリティが提供され、セキュリティはクライアント・オペレーティング・システム(OS)によって信頼されるセキュリティ証明書を使用して適用されます。

クライアント・ウォレットを使用しないTCPS接続は、次の要件を満たす場合にのみ機能します。

  1. 一方向TLS接続が有効になります。

    デフォルトでは、AVMCをプロビジョニングするときに一方向TLS接続が有効になります。詳細は、Autonomous Exadata VMクラスタの作成を参照してください。

  2. サーバーSSL証明書は、クライアント・オペレーティング・システムによって信頼されています。

    既知のパブリックCAによって署名された(BYOC)デジタルSSL証明書を使用して、デフォルトでクライアントOSによって信頼されるようにします。デジタル証明書がDigicertなどの既知のパブリックCAによって署名されていない場合は、クライアントOSが信頼するように証明書を手動で追加します。

    たとえば、Linux環境では、サーバーによって提示された証明書を/etc/ssl/certs/ca-bundle.crtファイルに追加します。

独自の証明書(BYOC)を取得するには、次の手順に従います。
  • DigicertなどのパブリックCAからSSL証明書を取得します。詳細は、追加情報を参照してください。

  • OCI証明書サービスを使用してSSL証明書をシードします。「証明書の作成」を参照してください。

    これらの証明書は署名され、PEM形式である必要があります。つまり、ファイル拡張子は.PEM、.cerまたは.crtのみです。

  • AVMCの「詳細」ページからアクセス可能な「証明書の管理」ダイアログから、SSL証明書をAVMCに追加します。「Autonomous Exadata VMクラスタのセキュリティ証明書の管理」を参照してください。

追加情報

パブリックCAからSSL証明書を取得するステップの概要は次のとおりです。

  1. ウォレットを作成します。

    WALLET_PWD=<password>

CERT_DN="CN=atpd-exa-xjg2g-scan.subnetadbd.vncadbdexacs.oraclevcn.com,OU=FOR TESTING PURPOSES ONLY,O=Oracle Corporation,L=Redwood City,ST=California,C=US"
CERT_VALIDITY=365
KEY_SIZE=2048
SIGN_ALG="sha256"
WALLET_DIR=$PWD
ASYM_ALG="RSA"

$ORACLE_HOME/bin/orapki wallet create -wallet $WALLET_DIR -pwd $WALLET_PWD -auto_login
  2. 署名リクエストを作成します(これにより、ウォレットおよびリクエストされた証明書内に秘密キーが作成されます)
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -dn "$CERT_DN" -pwd $WALLET_PWD
      -keysize $KEY_SIZE -sign_alg $SIGN_ALG -validity $CERT_VALIDITY -asym_alg $ASYM_ALG
  3. 署名リクエストのエクスポート 
    $ORACLE_HOME/bin/orapki wallet export -wallet $WALLET_DIR -dn "$CERT_DN" -request
      $WALLET_DIR/cert.csr

  4. 署名リクエスト・ファイルcert.csrをCAのパブリックCAに送信して検証し、ユーザー/リーフ証明書およびチェーンを返信します。

  5. ユーザー証明書およびチェーン(ルート+中間証明書)をウォレットに追加します
    $ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
      $WALLET_DIR/root.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD  -trusted_cert -cert
      $WALLET_DIR/intermediate.crt$ORACLE_HOME/bin/orapki wallet add -wallet $WALLET_DIR -pwd $WALLET_PWD -user_cert -cert
      $WALLET_DIR/usercert.crt
  6. ユーザー証明書、チェーン証明書および秘密キーをOracle Cloud Infrastructure (OCI)証明書サービスにアップロードします。次のコマンドを使用して、ウォレットから秘密キーを取得できます:
    openssl pkcs12 -in $WALLET_DIR/ewallet.p12 -out $WALLET_DIR/private.pem -nocerts