====== TCPS ======

===== Mise en oeuvre sur RAC =====

== Environnement ==
  * **Noeuds**: 
    * oracle2.labo.delag.fr
    * oracle3.labo.delag.fr
  * **rac**: 
    * rac1

=== 1/ Wallet ===

  * création du wallet sur 1er noeud (oracle2)

<code BASH>
[oracle@oracle2 ~]$ mkdir /u01/Downloads/TCPS
[oracle@oracle2 ~]$ mkdir /u01/app/oracle/wallet/
[oracle@oracle2 ~]$ chmod 750 /u01/app/oracle/wallet/
[oracle@oracle2 ~]$ orapki wallet create -wallet /u01/app/oracle/wallet/ -auto_login -pwd XXXXX
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.3.0.0.0 : version {1}
Copyright (c) 2004, 2019, Oracle et/ou ses filiales. Tous droits réservés.

Opération terminée.
</code>

  * préparation de l'arborescence du wallet sur 2nd noeud (oracle3)
<code BASH>
[oracle@oracle3 ~]$ mkdir /u01/app/oracle/wallet/
[oracle@oracle3 ~]$ chmod 750 /u01/app/oracle/wallet/
</code>





  * Export RAC Scan name (il s'agit de la 1ere ligne)
<code BASH>
[oracle@oracle2 ~]$ srvctl config scan
Nom SCAN : rac1-scan, réseau : 1
Sous-réseau IPv4 : 192.168.10.0/255.255.255.0/eth0, static
Sous-réseau IPv6 : 
SCAN 1 IPv4 VIP: 192.168.10.232
L'adresse IP virtuelle SCAN est activée.
SCAN 2 IPv4 VIP: 192.168.10.233
L'adresse IP virtuelle SCAN est activée.
SCAN 3 IPv4 VIP: 192.168.10.234
L'adresse IP virtuelle SCAN est activée.

</code>

  * certificate request
<code BASH>
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -dn 'CN=RAC1-SCAN,OU=Serveurs,OU=labo,DC=labo,DC=delag,DC=fr,emailAddress=mdl@delag.fr' -sign_alg sha256 -keysize 2048 -pwd XXXXX
</code>


  * export certificate request
<code BASH>
[oracle@oracle2 ~]$ orapki wallet export -wallet /u01/app/oracle/wallet -dn 'CN=RAC1-SCAN,OU=Serveurs,OU=labo,DC=labo,DC=delag,DC=fr,emailAddress=mdl@delag.fr' -request /u01/app/oracle/wallet/rac1.csr
</code>

  * request cert to cert authority

  * import and trust of ROOT Authority CERT
<code BASH>
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/root.cer -trusted_cert
</code>

  * import and trust of Authentication CERT
<code BASH>
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/authentification.cer -trusted_cert
</code>


  * import and trust of  intermediate cert
<code BASH>
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/server_authentification.cer -trusted_cert
</code>


  * import and trust of  CERT for Oracle Host
<code BASH>
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -user_cert -cert /u01/app/oracle/wallet/ca.crt
</code>

  * display result
<code BASH>
[oracle@oracle2 ~]$ orapki wallet display -wallet /u01/app/oracle/wallet
</code>


=== 2/ SQL.NET and Listener on standalone ===
Change protocol from TCP to TCPS or create a dedicated Listener on different port

  * actual Listener
<code BASH>
LISTENER_TCPS =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS=(PROTOCOL=TCPS)(HOST=gva-plp-odb009.dts.corp.local)(PORT=1529))
)
)
</code>

  * adapt SQLNET
<code BASH>
SSL_CLIENT_AUTHENTICATION = FALSE
SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256)
SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS)
NAMES.DIRECTORY_PATH=(TNSNAMES, EZCONNECT)
WALLET_LOCATION =
(SOURCE=
(METHOD=File)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/wallet)
)
)
</code>