Konfigurieren von SQL*Plus für die Verwendung von SSL mit einer DB-Instance von RDS für Oracle - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von SQL*Plus für die Verwendung von SSL mit einer DB-Instance von RDS für Oracle

Bevor Sie eine Verbindung mit einer DB-Instance von RDS für Oracle herstellen können, die die Oracle-SSL-Option verwendet, müssen Sie SQL*Plus konfigurieren.

Anmerkung

Stellen Sie sicher, dass die Sicherheitsgruppen korrekt konfiguriert sind, um Zugriff auf die DB-Instance durch entsprechende Clients zu erlauben. Weitere Informationen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen. Diese Anweisungen gelten auch für SQL*Plus und andere Clients, die direkt ein Oracle-Stammverzeichnis verwenden. Weitere Informationen zu JDBC-Verbindungen finden Sie unter Einrichten einer SSL-Verbindung über JDBC.

So konfigurieren Sie SQL*Plus für die Verwendung einer SSL-Verbindung mit einer DB-Instance von RDS für Oracle

  1. Legen Sie in der Umgebungsvariablen ORACLE_HOME den Speicherort des Oracle-Stammverzeichnisses fest.

    Der Pfad zu Ihrem Oracle-Stammverzeichnis hängt von Ihrer Installation ab. Im folgenden Beispiel wird die Umgebungsvariable ORACLE_HOME festgelegt.

    prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1

    Weitere Informationen zum Einrichten der Oracle-Umgebungsvariablen finden Sie unter SQL*Plus Environment Variables in der Oracle-Dokumentation und auch im Oracle-Installationshandbuch für das jeweilige Betriebssystem.

  2. Fügen Sie $ORACLE_HOME/lib an die Umgebungsvariable LD_LIBRARY_PATH an.

    Im folgenden Beispiel wird die Umgebungsvariable LD_LIBRARY_PATH festgelegt.

    prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib

  3. Erstellen Sie ein Oracle Wallet unter $ORACLE_HOME/ssl_wallet.

    Im folgenden Beispiel wird das Oracle Wallet-Verzeichnis erstellt.

    prompt>mkdir $ORACLE_HOME/ssl_wallet

  4. Laden Sie die .pem-Datei des Zertifikatpakets herunter, das für alle AWS-Regionen funktioniert, und legen Sie die Datei im Verzeichnis „ssl_wallet“ ab. Weitere Informationen finden Sie unter .

  5. Ändern oder erstellen Sie im Verzeichnis $ORACLE_HOME/network/admin die Datei tnsnames.ora, die folgenden Eintrag enthalten muss.

    net_service_name = 
  (DESCRIPTION = 
    (ADDRESS_LIST = 
      (ADDRESS = 
        (PROTOCOL = TCPS) 
        (HOST = endpoint) 
        (PORT = ssl_port_number)
      )
    )
    (CONNECT_DATA = 
      (SID = database_name)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint")
    )
  )

  6. Ändern oder erstellen Sie im selben Verzeichnis die Datei sqlnet.ora und binden Sie folgende Parameter ein.

    Anmerkung

    Zur Kommunikation mit Entitäten über eine sichere TLS-Verbindung benötigt Oracle ein Wallet mit den erforderlichen Zertifikaten für die Authentifizierung. Sie können das ORAPKI-Dienstprogramm von Oracle zum Erstellen und Verwalten von Oracle-Wallets verwenden, wie in Schritt 7 beschrieben. Weitere Informationen finden Sie unter Setting Up Oracle Wallet Using ORAPKI in der Oracle-Dokumentation.

    WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) 
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.0 
SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) 
SSL_SERVER_DN_MATCH = ON
    Anmerkung

    Sie können für SSL_VERSION einen höheren Wert einstellen, sofern er von Ihrer DB-Instance unterstützt wird.

  7. Führen Sie den folgenden Befehl aus, um das Oracle Wallet zu erstellen.

    prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only

  8. Extrahieren Sie jedes Zertifikat in der .pem-Bundle-Datei mithilfe eines Betriebssystemdienstprogramms in eine separate .pem-Datei.

  9. Fügen Sie Ihrem Wallet jedes Zertifikat mit separaten orapki-Befehlen hinzu und ersetzen Sie certificate-pem-file durch den absoluten Dateinamen der PEM-Datei.

    prompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -cert
      certificate-pem-file -auto_login_only

    Weitere Informationen finden Sie unter Rotieren Ihrer SSL/TLS-Zertifikate.