SQL*Plus RDS für die Verwendung SSL mit einer Oracle-DB-Instance konfigurieren - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SQL*Plus RDS für die Verwendung SSL mit einer Oracle-DB-Instance konfigurieren

Bevor Sie eine Verbindung zu einer RDS Oracle-DB-Instance herstellen können, die die SSL Oracle-Option verwendet, müssen SQL Sie*Plus konfigurieren, bevor Sie eine Verbindung herstellen.

Anmerkung

Stellen Sie sicher, dass die Sicherheitsgruppen korrekt konfiguriert sind, um Zugriff auf die DB-Instance durch entsprechende Clients zu erlauben. Weitere Informationen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen. Außerdem gelten diese Anweisungen für SQL *Plus und andere Clients, die direkt ein Oracle-Standardverzeichnis verwenden. JDBCVerbindungen finden Sie unterSSLVerbindung einrichten über JDBC.

So konfigurieren Sie SQL *Plus RDS für die SSL Verbindung mit einer Oracle-DB-Instance

  1. Legen Sie in der Umgebungsvariablen ORACLE_HOME den Speicherort des Oracle-Stammverzeichnisses fest.

    Der Pfad zu Ihrem Oracle-Stammverzeichnis hängt von Ihrer Installation ab. Im folgenden Beispiel wird die Umgebungsvariable ORACLE_HOME festgelegt.

    prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1

    Informationen zur Einstellung von Oracle-Umgebungsvariablen finden Sie unter SQL*Plus-Umgebungsvariablen in der Oracle-Dokumentation sowie im Oracle-Installationsleitfaden für Ihr Betriebssystem.

  2. Fügen Sie $ORACLE_HOME/lib an die Umgebungsvariable LD_LIBRARY_PATH an.

    Im Folgenden finden Sie ein Beispiel, das die PATH Umgebungsvariable LD_ LIBRARY _ festlegt.

    prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib

  3. Erstellen Sie ein Oracle Wallet unter $ORACLE_HOME/ssl_wallet.

    Im folgenden Beispiel wird das Oracle Wallet-Verzeichnis erstellt.

    prompt>mkdir $ORACLE_HOME/ssl_wallet

  4. Laden Sie die Zertifikatspaket-Datei (.pem) herunter, die für alle funktioniert, AWS-Regionen und legen Sie die Datei im Verzeichnis ssl_wallet ab. Weitere Informationen finden Sie unter .

  5. Ändern oder erstellen Sie im Verzeichnis $ORACLE_HOME/network/admin die Datei tnsnames.ora, die folgenden Eintrag enthalten muss.

    net_service_name = 
  (DESCRIPTION = 
    (ADDRESS_LIST = 
      (ADDRESS = 
        (PROTOCOL = TCPS) 
        (HOST = endpoint) 
        (PORT = ssl_port_number)
      )
    )
    (CONNECT_DATA = 
      (SID = database_name)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint")
    )
  )

  6. Ändern oder erstellen Sie im selben Verzeichnis die Datei sqlnet.ora und binden Sie folgende Parameter ein.

    Anmerkung

    Um mit Entitäten über eine TLS sichere Verbindung zu kommunizieren, benötigt Oracle ein Wallet mit den für die Authentifizierung erforderlichen Zertifikaten. Sie können das ORAPKI Oracle-Hilfsprogramm verwenden, um Oracle-Wallets zu erstellen und zu verwalten, wie in Schritt 7 gezeigt. Weitere Informationen finden Sie ORAPKI in der Oracle-Dokumentation unter Oracle Wallet einrichten.

    WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) 
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.0 
SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) 
SSL_SERVER_DN_MATCH = ON
    Anmerkung

    Sie können für SSL_VERSION einen höheren Wert einstellen, sofern er von Ihrer DB-Instance unterstützt wird.

  7. Führen Sie den folgenden Befehl aus, um das Oracle-Wallet zu erstellen.

    prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only

  8. Extrahieren Sie jedes Zertifikat in der .pem-Bundle-Datei mithilfe eines Betriebssystem-Dienstprogramms in eine separate .pem-Datei.

  9. Fügen Sie jedes Zertifikat mit separaten orapki Befehlen zu Ihrer Wallet hinzu und certificate-pem-file ersetzen Sie es durch den absoluten Dateinamen der PEM-Datei.

    prompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -cert
      certificate-pem-file -auto_login_only

    Weitere Informationen finden Sie unter Rotieren Ihrer SSL/TLS-Zertifikate.