Configuration du serveur Oracle Database

Utilisez les outils Oracle, tels qu'Oracle Wallet Manager et la commande orapki, pour configurer le magasin de clés certifiées et le magasin de clés sur le serveur Oracle Database.

A propos de cette tâche

Vous pouvez utiliser les commandes suivantes pour configurer une autorité de certificat autosigné, un magasin de clés certifiées et un magasin de clés, à des fins de test :
cd c:\temp
mkdir authority
mkdir server
mkdir client

Autorité de certificat autosigné

orapki wallet create -wallet ./authority -pwd=ThePwd12

orapki wallet add -wallet ./authority -dn "CN=authority, C=US" -keysize 2048 
-self_signed -validity 3650 -pwd=ThePwd12

orapki wallet export -wallet ./authority -dn "CN=authority, C=US" -cert 
./authority/CA.cer -pwd=ThePwd12

Utilisez le fichier CA.cer du répertoire authority en tant que certificat sécurisé lorsque vous exécutez la commande keytool pour importer un certificat de l'autorité de certification dans le magasin de clés certifiées du répartiteur.

Magasins pour l'authentification de serveur

orapki wallet create -wallet ./server -auto_login -pwd=ThePwd12

orapki wallet add -wallet ./server -dn "CN=server, C=US" -keysize 2048 
-pwd=ThePwd12

orapki wallet export -wallet ./server -dn "CN=server, C=US" -request 
./server/creq.cer -pwd=ThePwd12

orapki cert create -wallet ./authority -request ./server/creq.cer -cert 
./server/signed.cer -validity 3650 -pwd=ThePwd12

orapki wallet add -wallet ./server -trusted_cert -cert ./authority/CA.cer 
-pwd=ThePwd12

orapki wallet add -wallet ./server -user_cert -cert ./server/signed.cer 
-pwd=ThePwd12

Magasins pour l'authentification de client

orapki wallet create -wallet ./client -auto_login -pwd=ThePwd12

orapki wallet add -wallet ./client -dn "CN=client, C=US" -keysize 2048 
-pwd=ThePwd12

orapki wallet export -wallet ./client -dn "CN=client, C=US" -request 
./client/creq.cer -pwd=ThePwd12

orapki cert create -wallet ./authority -request ./client/creq.cer -cert 
./client/signed.cer -validity 3650 -pwd=ThePwd12

orapki wallet add -wallet ./client -trusted_cert -cert ./authority/CA.cer 
-pwd=ThePwd12

orapki wallet add -wallet ./client -user_cert -cert ./client/signed.cer 
-pwd=ThePwd12

Configuration du réseau Oracle

Configurez les deux fichiers suivants sur le serveur de base de données Oracle pour activer SSL :

  • listener.ora
  • sqlnet.ora

Ces fichiers se trouvent dans le sous-répertoire network\admin du répertoire de base d'Oracle. Vous pouvez utiliser Oracle Net Manager ou un éditeur de texte pour modifier ces fichiers.

listener.ora:

SSL_VERSION = 3.0
SSL_CLIENT_AUTHENTICATION = FALSE

WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = myDir)
    )
  )

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = myHost)(PORT = nonSSLPort))
    )
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCPS)(HOST = myHost)(PORT = sslPort))
    )
  )

sqlnet.ora:

SQLNET.AUTHENTICATION_SERVICES= (TCPS, NTS)
NAMES.DIRECTORY_PATH= (TNSNAMES)

SSL_VERSION = 3.0
SSL_CLIENT_AUTHENTICATION = FALSE

WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = myDir)
    )
  )

où :

myDir
Emplacement du fichier de clés certifiées sur le serveur de base de données Oracle. Par exemple, C:\temp\server.
myHost
Nom d'hôte du serveur.
nonSSLPort
Port de communication non SSL (protocole TCP). Par exemple, 1521.
sslPort
Port de communication SSL (protocole TCPS). Par exemple, 2484.