RDS for Oracle DB 인스턴스에 SSL을 사용하도록 SQL*Plus 구성 - Amazon Relational Database Service

RDS for Oracle DB 인스턴스에 SSL을 사용하도록 SQL*Plus 구성

Oracle SSL 옵션을 사용하는 RDS for Oracle DB 인스턴스에 연결하려면 우선 연결 전에 SQL*Plus를 구성해야 합니다.

참고

해당 클라이언트에서 DB 인스턴스에 액세스하는 것을 허용하려면 보안 그룹을 올바르게 구성해야 합니다. 자세한 내용은 보안 그룹을 통한 액세스 제어 섹션을 참조하세요. 또한 이러한 지침은 Oracle 홈을 직접 사용하는 SQL*Plus 및 기타 클라이언트에 대한 것입니다. JDBC 연결에 대한 자세한 정보는 JDBC를 통한 SSL 연결 설정 단원을 참조하십시오.

SSL을 사용하여 RDS for Oracle DB 인스턴스에 연결하도록 SQL*Plus를 구성하려면

  1. ORACLE_HOME 환경 변수를 Oracle 홈 디렉터리의 위치로 설정합니다.

    Oracle 홈 디렉터리 경로는 설치에 따라 달라집니다. 다음은 ORACLE_HOME 환경 변수를 설정하는 예제입니다.

    prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1

    Oracle 환경 변수 설정에 대한 자세한 정보는 Oracle 설명서의 SQL*Plus Environment Variables 및 운영 체제에 해당하는 Oracle 설치 안내서를 참조하십시오.

  2. $ORACLE_HOME/libLD_LIBRARY_PATH 환경 변수에 추가합니다.

    다음은 LD_LIBRARY_PATH 환경 변수를 설정하는 예제입니다.

    prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib

  3. $ORACLE_HOME/ssl_wallet에 Oracle Wallet을 위한 디렉터리를 만듭니다.

    다음은 Oracle Wallet 디렉터리를 생성하는 예제입니다.

    prompt>mkdir $ORACLE_HOME/ssl_wallet

  4. 모든 AWS 리전에서 작동하는 인증서 번들 .pem 파일을 다운로드하고 파일을 ssl_wallet 디렉터리에 저장합니다. 자세한 내용은 SSL/TLS를 사용하여 DB 인스턴스 또는 클러스터에 대한 연결 암호화을 참조하세요.

  5. $ORACLE_HOME/network/admin 디렉터리에서 tnsnames.ora 파일을 수정하거나 생성하고 다음 항목을 포함합니다.

    net_service_name = 
  (DESCRIPTION = 
    (ADDRESS_LIST = 
      (ADDRESS = 
        (PROTOCOL = TCPS) 
        (HOST = endpoint) 
        (PORT = ssl_port_number)
      )
    )
    (CONNECT_DATA = 
      (SID = database_name)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint")
    )
  )

  6. 동일한 디렉터리에서 sqlnet.ora 파일을 수정하거나 만들고 다음 파라미터를 포함합니다.

    참고

    TLS 보안 연결을 통해 개체와 통신하기 위해 Oracle이 인증에 필요한 인증서가 있는 wallet을 요구합니다. 7단계에서와 같이 Oracle의 ORAPKI 유틸리티를 사용하여 Oracle Wallet을 만들고 유지 관리할 수 있습니다. 자세한 내용은 Oracle 설명서의 Setting up Oracle wallet using ORAPKI를 참조하십시오.

    WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) 
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.0 
SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) 
SSL_SERVER_DN_MATCH = ON
    참고

    DB 인스턴스가 지원하는 경우 SSL_VERSION을 더 높은 값으로 설정할 수 있습니다.

  7. 다음 명령을 실행하여 Oracle Wallet을 만듭니다.

    prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only

  8. OS 유틸리티를 사용하여 .pem 번들 파일의 각 인증서를 별도의 .pem 파일로 추출합니다.

  9. .pem 파일의 절대 파일 이름으로 certificate-pem-file을 대체하여 개별 orapki 명령을 통해 Wallet에 각 인증서를 추가합니다.

    prompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -cert
      certificate-pem-file -auto_login_only

    자세한 내용은 SSL/TLS 인증서 교체 단원을 참조하십시오.