Oracle-Datenbankserver konfigurieren

Mit Oracle-Tools, wie beispielsweise dem Oracle Wallet Manager und dem Befehl orapki, können Sie sowohl den Truststore als auch den Schlüsselspeicher auf dem Oracle-Datenbankserver konfigurieren.

Informationen zu diesem Vorgang

Mit den folgenden Befehlen können Sie zu Testzwecken eine Berechtigung für ein selbst signiertes Zertifikat, einen Truststore und einen Schlüsselspeicher konfigurieren:

cd c:\temp
mkdir authority
mkdir server
mkdir client

Berechtigung für ein selbst signiertes Zertifikat

orapki wallet create -wallet ./authority -pwd=ThePwd12

orapki wallet add -wallet ./authority -dn "CN=authority, C=US" -keysize 2048 
-self_signed -validity 3650 -pwd=ThePwd12

orapki wallet export -wallet ./authority -dn "CN=authority, C=US" -cert 
./authority/CA.cer -pwd=ThePwd12

Verwenden Sie die Datei CA.cer im Verzeichnis authority als gesichertes Zertifikat, wenn Sie den Befehl keytool ausgeben, um ein CA-Zertifikat in den Dispatcher-Truststore zu importieren.

Stores für Serverauthentifizierung

orapki wallet create -wallet ./server -auto_login -pwd=ThePwd12

orapki wallet add -wallet ./server -dn "CN=server, C=US" -keysize 2048 
-pwd=ThePwd12

orapki wallet export -wallet ./server -dn "CN=server, C=US" -request 
./server/creq.cer -pwd=ThePwd12

orapki cert create -wallet ./authority -request ./server/creq.cer -cert 
./server/signed.cer -validity 3650 -pwd=ThePwd12

orapki wallet add -wallet ./server -trusted_cert -cert ./authority/CA.cer 
-pwd=ThePwd12

orapki wallet add -wallet ./server -user_cert -cert ./server/signed.cer 
-pwd=ThePwd12

Stores für Clientauthentifizierung

orapki wallet create -wallet ./client -auto_login -pwd=ThePwd12

orapki wallet add -wallet ./client -dn "CN=client, C=US" -keysize 2048 
-pwd=ThePwd12

orapki wallet export -wallet ./client -dn "CN=client, C=US" -request 
./client/creq.cer -pwd=ThePwd12

orapki cert create -wallet ./authority -request ./client/creq.cer -cert 
./client/signed.cer -validity 3650 -pwd=ThePwd12

orapki wallet add -wallet ./client -trusted_cert -cert ./authority/CA.cer 
-pwd=ThePwd12

orapki wallet add -wallet ./client -user_cert -cert ./client/signed.cer 
-pwd=ThePwd12

Oracle -Netzkonfiguration

Konfigurieren Sie die folgenden zwei Dateien auf dem Oracle-Datenbankserver, um SSL zu aktivieren:

listener.ora
sqlnet.ora

Diese Dateien befinden sich im Verzeichnis network\admin des Oracle-Ausgangsverzeichnisses. Mit dem Oracle Net Manager oder einem Texteditor können Sie die folgenden Dateien bearbeiten.

listener.ora:

SSL_VERSION = 3.0
SSL_CLIENT_AUTHENTICATION = FALSE

WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = myDir)
    )
  )

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = myHost)(PORT = nonSSLPort))
    )
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCPS)(HOST = myHost)(PORT = sslPort))
    )
  )

sqlnet.ora:

SQLNET.AUTHENTICATION_SERVICES= (TCPS, NTS)
NAMES.DIRECTORY_PATH= (TNSNAMES)

SSL_VERSION = 3.0
SSL_CLIENT_AUTHENTICATION = FALSE

WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = myDir)
    )
  )

Hierbei gilt:

myDir: Die Verzeichnisposition des Truststores auf dem Oracle-Datenbankserver. Beispiel: C:\temp\server.
myHost: Der Server-Hostname.
nonSSLPort: Der Nicht-SSL-Kommunikationsport (TCP-Protokoll). Beispiel: 1521.
sslPort: Der SSL-Kommunikationsport (TCPS-Protokoll). Beispiel: 2484.