Configurar o SQL*Plus para usar SSL com uma instância de banco de dados do RDS para Oracle - Amazon Relational Database Service

Configurar o SQL*Plus para usar SSL com uma instância de banco de dados do RDS para Oracle

É necessário configurar o SQL*Plus para se conectar a uma instância de banco de dados do RDS para Oracle que use a opção Oracle SSL.

nota

Para permitir o acesso à instância de banco de dados a partir dos clientes apropriados, verifique se os grupos de segurança estão configurados corretamente. Para ter mais informações, consulte Controlar acesso com grupos de segurança. Além disso, essas instruções são para o SQL*Plus e outros clientes que usam diretamente um Oracle Home. Para conexões JDBC, consulte Configurar uma conexão SSL via JDBC.

Para configurar o SQL*Plus para usar SSL para se conectar a uma instância de banco de dados do RDS para Oracle

  1. Defina a variável de ambiente ORACLE_HOME como o local do diretório inicial do Oracle.

    O caminho para o diretório inicial do Oracle depende da instalação. O exemplo a seguir define a variável de ambiente ORACLE_HOME.

    prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1

    Para obter informações sobre como definir variáveis de ambiente do Oracle, consulte Variáveis de ambiente do SQL*Plus na documentação da Oracle e consulte também o guia de instalação da Oracle para o sistema operacional.

  2. Adicione a variável de ambiente $ORACLE_HOME/lib ao LD_LIBRARY_PATH.

    O exemplo a seguir define a variável de ambiente LD_LIBRARY_PATH.

    prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib

  3. Crie um diretório para o Oracle Wallet em $ORACLE_HOME/ssl_wallet.

    Este é um exemplo que cria o diretório do Oracle Wallet.

    prompt>mkdir $ORACLE_HOME/ssl_wallet

  4. Baixe o pacote do certificado .pem que funciona para todas as Regiões da AWS e coloque o arquivo no diretório ssl_wallet. Para ter mais informações, consulte Usar SSL/TLS para criptografar uma conexão com uma instância ou um cluster de banco de dados.

  5. No diretório $ORACLE_HOME/network/admin, modifique ou crie o arquivo tnsnames.ora e inclua a entrada a seguir.

    net_service_name = 
  (DESCRIPTION = 
    (ADDRESS_LIST = 
      (ADDRESS = 
        (PROTOCOL = TCPS) 
        (HOST = endpoint) 
        (PORT = ssl_port_number)
      )
    )
    (CONNECT_DATA = 
      (SID = database_name)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint")
    )
  )

  6. No mesmo diretório, modifique ou crie o arquivo sqlnet.ora e inclua os seguintes parâmetros.

    nota

    Para se comunicar com entidades por meio de uma conexão protegida por TLS, a Oracle requer uma carteira com os certificados necessários para autenticação. Você pode usar o utilitário ORAPKI da Oracle para criar e manter carteiras Oracle, conforme mostrado na etapa 7. Para ter mais informações, consulte Configurar o Oracle Wallet usando ORAPKI na documentação da Oracle.

    WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) 
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.0 
SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) 
SSL_SERVER_DN_MATCH = ON
    nota

    Você poderá definir SSL_VERSION como um valor mais alto se sua instância de banco de dados for compatível.

  7. Execute os comandos a seguir para criar o Oracle Wallet.

    prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only

  8. Extraia cada certificado no arquivo do pacote .pem em um arquivo .pem separado usando um utilitário do sistema operacional.

  9. Adicione cada certificado à carteira usando comandos orapki separados, substituindo certificate-pem-file pelo nome absoluto do arquivo .pem.

    prompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -cert
      certificate-pem-file -auto_login_only

    Para ter mais informações, consulte Alternar o certificado SSL/TLS.