meta données pour cette page
  •  

TCPS

Mise en oeuvre sur RAC

Environnement
  • Noeuds:
    • oracle2.labo.delag.fr
    • oracle3.labo.delag.fr
  • rac:
    • rac1

1/ Wallet

  • création du wallet sur 1er noeud (oracle2)
[oracle@oracle2 ~]$ mkdir /u01/Downloads/TCPS
[oracle@oracle2 ~]$ mkdir /u01/app/oracle/wallet/
[oracle@oracle2 ~]$ chmod 750 /u01/app/oracle/wallet/
[oracle@oracle2 ~]$ orapki wallet create -wallet /u01/app/oracle/wallet/ -auto_login -pwd XXXXX
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.3.0.0.0 : version {1}
Copyright (c) 2004, 2019, Oracle et/ou ses filiales. Tous droits réservés.
 
Opération terminée.
  • préparation de l'arborescence du wallet sur 2nd noeud (oracle3)
[oracle@oracle3 ~]$ mkdir /u01/app/oracle/wallet/
[oracle@oracle3 ~]$ chmod 750 /u01/app/oracle/wallet/
  • Export RAC Scan name (il s'agit de la 1ere ligne)
[oracle@oracle2 ~]$ srvctl config scan
Nom SCAN : rac1-scan, réseau : 1
Sous-réseau IPv4 : 192.168.10.0/255.255.255.0/eth0, static
Sous-réseau IPv6 : 
SCAN 1 IPv4 VIP: 192.168.10.232
L'adresse IP virtuelle SCAN est activée.
SCAN 2 IPv4 VIP: 192.168.10.233
L'adresse IP virtuelle SCAN est activée.
SCAN 3 IPv4 VIP: 192.168.10.234
L'adresse IP virtuelle SCAN est activée.
  • certificate request
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -dn 'CN=RAC1-SCAN,OU=Serveurs,OU=labo,DC=labo,DC=delag,DC=fr,emailAddress=mdl@delag.fr' -sign_alg sha256 -keysize 2048 -pwd XXXXX
  • export certificate request
[oracle@oracle2 ~]$ orapki wallet export -wallet /u01/app/oracle/wallet -dn 'CN=RAC1-SCAN,OU=Serveurs,OU=labo,DC=labo,DC=delag,DC=fr,emailAddress=mdl@delag.fr' -request /u01/app/oracle/wallet/rac1.csr
  • request cert to cert authority
  • import and trust of ROOT Authority CERT
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/root.cer -trusted_cert
  • import and trust of Authentication CERT
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/authentification.cer -trusted_cert
  • import and trust of intermediate cert
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -cert /u01/app/oracle/wallet/server_authentification.cer -trusted_cert
  • import and trust of CERT for Oracle Host
[oracle@oracle2 ~]$ orapki wallet add -wallet /u01/app/oracle/wallet -user_cert -cert /u01/app/oracle/wallet/ca.crt
  • display result
[oracle@oracle2 ~]$ orapki wallet display -wallet /u01/app/oracle/wallet

2/ SQL.NET and Listener on standalone

Change protocol from TCP to TCPS or create a dedicated Listener on different port

  • actual Listener
LISTENER_TCPS =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS=(PROTOCOL=TCPS)(HOST=gva-plp-odb009.dts.corp.local)(PORT=1529))
)
)
  • adapt SQLNET
SSL_CLIENT_AUTHENTICATION = FALSE
SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256)
SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS)
NAMES.DIRECTORY_PATH=(TNSNAMES, EZCONNECT)
WALLET_LOCATION =
(SOURCE=
(METHOD=File)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/wallet)
)
)