Ce document est le deuxième volet de la configuration SSL en environnement RAC.
Il sera organisé de la façon suivante :
- La configuration réseau (Listener.ora et tnsnames.ora)
- La configuration de la base de données
- La configuration du poste client
A-/ Configuration Réseau
Elle se fait en suivant les étapes ci-dessous :
- Modification du fichier sqlnet.ora (DB_HOME)
- Modification du fichier listener.ora (GRID_HOME)
- Ajout du protocol TCPS dans la configuration du listener scan et du listener
1. Modification du fichier sqlnet.ora
Il faut ajouter les lignes ci-dessous dans le fichier sqlnet.ora du DB_HOME
SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS) SSL_CLIENT_AUTHENTICATION = FALSE WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = /opt/oracle/wallet) ) )
2. Modification du fichier listener.ora du GRID_HOME
Ajouter la localisation du Wallet dans le listener.ora du GRID_HOME et ceci pour chaque nœud du RAC.
SSL_CLIENT_AUTHENTICATION = FALSE WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = /opt/oracle/wallet) ) )
3. Ajout du protocol TCPS dans la configuration des listeners du GRID_HOME
- Affichage des Endpoint des listeners
crsctl stat res -p | grep ENDPOINTS
- Arrêt des listeners
srvctl stop scan_listener srvctl stop scan srvctl stop listener –l LISTENER
- Ajout du protocol TCPS
srvctl modify scan_listener –p TCP:1521/TCPS:1523 srvctl modify listener –l LISTENER –p TCP:1521/TCPS:1523
- Démarrage des listeners
srvctl start scan srvctl start scan_listener srvctl start listener –l LISTENER
- Vérification de la prise en compte du protocol TCPS
srvctl config scan_listener srvctl config listener -l LISTENER crsctl stat res -p | grep ENDPOINTS
B-/ Configuration de la base de données
Elle consiste à modifier pour chaque instance le paramètre LOCAL_LISTENER avec ajout du protocol TCPS
1. Modification du paramètre local_listener
Pour chaque instance du RAC exécuter les commandes ci-dessous :
show parameter local_listener ; alter system set local_listener = ‘(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP) (HOST=10.157.49.167)(PORT=1521))(ADDRESS=(PROTOCOL=TCPS)(HOST=10.157.49.167)(PORT=1523)))) scope=spfile sid=’test1’ ;
1.2 Redémarrage de la base pour prise en compte de la modification
srvctl stop database –d test srvctl start database –d test
C-/ Configuration du poste client
Elle consiste à modifier les fichiers sqlnet.ora et tnsnames.ora du poste client.
1. Copie des fichiers wallet.p12 et wallet.sso du serveur de données vers le serveur client dans un répertoire
1. Mise à jour du fichier sqlnet.ora
Ajouter la localisation du wallet dans le fichier sqlnet.ora
WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = /opt/oracle/wallet) ) )
1.3 Configuration du fichier tnsnames.ora
Il faut créer un nom se service qui utilise le protocol TCPS
TEST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = test-scan)(PORT = 1523)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = test) ) )
Comment gérer le SSL si notre environnement RAC est répliqué sur un autre serveur ?
Réponse dans un prochain article…