SSL(Secure Socket Layer) permet la sécurisation des données de transit à travers le réseau via le port TCPS.
Les étapes de la mise en œuvre du SSL sont les suivantes :
- La création du Wallet
- La configuration du réseau
- La configuration de la base de données
- La configuration du poste client
Ce sujet sera traité en deux parties :
- Première partie : Création du Wallet
- Deuxième Partie : Configuration réseau, base de données et client
Création du Wallet en environnement RAC
Dans un environnement RAC, le répertoire qui contient le Wallet doit être soit sur un File System partagé accessible par tous les nœuds du RAC, soit sur un répertoire dont la définition est identique sur chaque nœud.
1- Création du certificat
On suppose que le client a sa propre autorisation de certification. La création du certificat se fera avec l’utilitaire orapki.
- Création du répertoire du Wallet
On partira sur un répertoire non partagé dont la définition est identique sur chaque nœud du RAC.
mkdir –p /opt/oracle/wallet cd /opt/oracle/wallet export WALLET_HOME=/opt/oracle/wallet
- Création du Wallet
orapki wallet create -wallet $WALLET_HOME
- Suppression des certificats de confiance par défaut
orapki wallet remove -trusted_cert_all -wallet $WALLET_HOME -pwd <password>
- Ajout de l’identité du client au Wallet
orapki wallet add -wallet $WALLET_HOME -dn "CN=Oracle-wlpha.rec.s.paris.com,O=PARIS,C=FR" -keysize 2048 -pwd <password>
- Export du certificat pour signature
orapki wallet export -wallet $WALLET_HOME -dn "CN=Oracle-wlpha.rec.s.paris.com,O=PARIS,C=FR" -request Oracle-wlpha.rec.user.req -pwd <password>
- Demande de signature du certificat
A ce niveau, il faut faire la demande de signature à son autorité de certification
- Import du certificat de confiance de l’autorité de certification
On copie le certificat de confiance dans le fichier $WALLET_HOME/Oracle-wlpha.rec.CA.cer
orapki wallet add -wallet $WALLET_HOME -trusted_cert -cert Oracle-wlpha.rec.CA.cer -pwd <password>
- Import du certificat signé
On copie le certificat signé dans le fichier $WALLET_HOME/Oracle-wlpha.rec.user.cer
orapki wallet add -wallet $WALLET_HOME -user_cert -cert Oracle-wlpha.rec.user.cer -pwd <user_password>
- Création du certificat auto_login (fichier cwallet.sso)
Le fichier cwallet.sso est un mirroir du fichier ewallet.p12 et il est accédé par le processus PMON et le scan listener.
orapki wallet create -wallet $WALLET_HOME -auto_login -pwd <user_password>
- Affichage du certificat avec orapki
/opt/oracle/wallet > orapki wallet display -wallet $WALLET_HOME -summary -pwd <password>
- Vérification de la présence des fichiers ewallet.p12 et cwallet.sso
/opt/oracle/wallet > ls -lrt $WALLET_HOME -rw------- 1 oracle oinstall 5728 Jun 16 16:14 ewallet.p12 -rw-r----- 1 oracle oinstall 4717 Jun 18 13:03 cwallet.sso
Le fichier cwallet.sso doit avoir les droits 640
- Copie des fichiers ewallet.p12 et cwallet.sso sur les autres nœuds du rac
Cette Action est nécessaire si on n’utilise pas un FS partagé
cd /opt/oracle/wallet scp *wallet* rac2:/opt/oracle/wallet
Après la création du Wallet, on passe à l’étape suivante qui est la mise en place de la configuration réseau et base de données pour l’utilisation du protocole TCPS.
Sujet qui sera traité dans le prochain Article de Blog