本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 SQL*Plus 以使用 SSL 搭配 RDS for Oracle 資料庫執行個體
在可以連線至使用 Oracle SSL 選項的 RDS for Oracle 資料庫執行個體之前,您必須先設定 SQL*Plus,然後才能連線。
注意
若要允許從適當的用戶端存取資料庫執行個體,請確定您的安全群組已正確設定。如需更多詳細資訊,請參閱 使用安全群組控制存取。此外,這些指示僅適用於 SQL*Plus 和其他直接使用 Oracle 主目錄的用戶端。如需了解 JDBC 連線,請參閱 設定透過 JDBC 的 SSL 連線。
設定 SQL*Plus 以使用 SSL 連線至 RDS for Oracle 資料庫執行個體
-
將
ORACLE_HOME環境變數設為 Oracle 主目錄的位置。Oracle 主目錄的路徑取決於您的安裝。下列範例設定
ORACLE_HOME環境變數。prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1如需有關設定 Oracle 環境變數的資訊,請參閱 Oracle 文件中的 SQL*Plus 環境變數
,以及您的作業系統適用的 Oracle 安裝指南。 -
將
$ORACLE_HOME/lib附加至LD_LIBRARY_PATH環境變數。下列範例設定 LD_LIBRARY_PATH 環境變數。
prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib -
在
$ORACLE_HOME/ssl_wallet建立 Oracle 錢包的目錄。下列範例建立 Oracle 錢包目錄。
prompt>mkdir $ORACLE_HOME/ssl_wallet -
下載適用於所有 AWS 區域 的憑證套件 .pem 檔案,並將檔案放置在 ssl_wallet 目錄中。如需相關資訊,請參閱使用 SSL/TLS 來加密資料庫執行個體或叢集的連線。
-
在
$ORACLE_HOME/network/admin目錄中,修改或建立tnsnames.ora檔案,並包含下列項目。net_service_name= (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCPS) (HOST =endpoint) (PORT =ssl_port_number) ) ) (CONNECT_DATA = (SID =database_name) ) (SECURITY = (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint") ) ) -
在相同的目錄中,修改或建立 sqlnet.ora 檔案,並加入下列參數。
注意
若要透過 TLS 安全連線與實體之間進行通訊,Oracle 需要擁有必要憑證的錢包以進行身分驗證。您可以使用 Oracle 的 ORAPKI 公用程式來建立並維護 Oracle 錢包,如步驟 7 所示。如需詳細資訊,請參閱 Oracle 文件中的使用 ORAPKI 設定 Oracle 錢包
。 WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) SSL_CLIENT_AUTHENTICATION = FALSE SSL_VERSION = 1.0 SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) SSL_SERVER_DN_MATCH = ON注意
若資料庫執行個體支援,您可將
SSL_VERSION設為較高的值。 -
執行下列命令來建立 Oracle 錢包。
prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only -
使用 OS 公用程式,將 .pem 套件檔案中的每個憑證解壓縮至個別的 .pem 檔案。
-
使用個別
orapki命令將每個憑證新增至您的錢包,將certificate-pem-fileprompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -certcertificate-pem-file-auto_login_only如需更多詳細資訊,請參閱 輪換您的 SSL/TLS 憑證。
