Blog

Configuration SSL en environnement RAC PART 1 : Création du Wallet

SSL(Secure Socket Layer) permet la sécurisation des données de transit à travers le réseau via le port TCPS.
Les étapes de la mise en œuvre du SSL sont les suivantes :

  • La création du Wallet
  • La configuration du réseau
  • La configuration de la base de données
  • La configuration du poste client

Ce sujet sera traité en deux parties :

  1. Première partie : Création du Wallet
  2. Deuxième Partie : Configuration réseau, base de données et client

Création du Wallet en environnement RAC
Dans un environnement RAC, le répertoire qui contient le Wallet doit être soit sur un File System partagé accessible par tous les nœuds du RAC, soit sur un répertoire dont la définition est identique sur chaque nœud.
1- Création du certificat
On suppose que le client a sa propre autorisation de certification. La création du certificat se fera avec l’utilitaire orapki.

  • Création du répertoire du Wallet

On partira sur un répertoire non partagé dont la définition est identique sur chaque nœud du RAC.

mkdir –p /opt/oracle/wallet
cd /opt/oracle/wallet
export WALLET_HOME=/opt/oracle/wallet
  • Création du Wallet
orapki wallet create -wallet $WALLET_HOME
  • Suppression des certificats de confiance par défaut
 orapki wallet remove -trusted_cert_all -wallet $WALLET_HOME -pwd <password>
  • Ajout de l’identité du client au Wallet
orapki wallet add -wallet $WALLET_HOME -dn "CN=Oracle-wlpha.rec.s.paris.com,O=PARIS,C=FR" -keysize 2048 -pwd <password>
  • Export du certificat pour signature
orapki wallet export -wallet $WALLET_HOME -dn "CN=Oracle-wlpha.rec.s.paris.com,O=PARIS,C=FR" -request Oracle-wlpha.rec.user.req -pwd <password>
  • Demande de signature du certificat

A ce niveau, il faut faire la demande de signature à son autorité de certification

  • Import du certificat de confiance de l’autorité de certification

On copie le certificat de confiance dans le fichier $WALLET_HOME/Oracle-wlpha.rec.CA.cer

orapki wallet add -wallet $WALLET_HOME -trusted_cert -cert Oracle-wlpha.rec.CA.cer -pwd <password>
  • Import du certificat signé

On copie le certificat signé dans le fichier $WALLET_HOME/Oracle-wlpha.rec.user.cer

orapki wallet add -wallet $WALLET_HOME -user_cert -cert Oracle-wlpha.rec.user.cer -pwd <user_password>
  • Création du certificat auto_login (fichier cwallet.sso)

Le fichier cwallet.sso est un mirroir du fichier ewallet.p12 et il est accédé par le processus PMON et le scan listener.

orapki wallet create -wallet $WALLET_HOME -auto_login -pwd <user_password>
  • Affichage du certificat avec orapki
/opt/oracle/wallet > orapki wallet display -wallet $WALLET_HOME -summary -pwd <password>
  • Vérification de la présence des fichiers ewallet.p12 et cwallet.sso
/opt/oracle/wallet > ls -lrt $WALLET_HOME
-rw------- 1 oracle oinstall 5728 Jun 16 16:14 ewallet.p12
-rw-r----- 1 oracle oinstall 4717 Jun 18 13:03 cwallet.sso

Le fichier cwallet.sso doit avoir les droits 640

  • Copie des fichiers ewallet.p12 et cwallet.sso  sur les autres nœuds du rac

Cette Action est nécessaire si on n’utilise pas un FS partagé

cd /opt/oracle/wallet
scp *wallet* rac2:/opt/oracle/wallet

Après la création du Wallet, on passe à l’étape suivante qui est la mise en place de la configuration réseau et base de données pour l’utilisation du protocole TCPS.
Sujet qui sera traité dans le prochain Article de Blog

John Akasse
John Akasse
Voir tous ses articles
Articles récents

Mentions légales & Politique de confidentialité