Configuración de SQL*Plus para utilizar SSL con una instancia de base de datos de RDS para Oracle
Para poder conectarse a una instancia de base de datos de RDS para Oracle que utilice la opción Oracle SSL, deberá configurar SQL*Plus antes de conectarse.
nota
Para permitir el acceso a la instancia de base de los clientes adecuados, asegúrese de que configuren los grupos de seguridad correctamente. Para obtener más información, consulte Control de acceso con grupos de seguridad. Estas instrucciones también son para SQL*Plus y otros clientes que usan directamente un sistema interno de Oracle. Para las conexiones JDBC, consulte Configuración de una conexión SSL a través de JDBC.
Para configurar SQL*Plus para que use SSL para conectarse a una instancia de base de datos de RDS para Oracle
-
Establezca la variable de entorno
ORACLE_HOMEen la ubicación del directorio principal de Oracle.La ruta al directorio principal de Oracle depende de cada instalación. En el ejemplo siguiente, se establece la variable de entorno
ORACLE_HOME.prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1Para obtener más información sobre cómo establecer variables de entorno de Oracle, consulte SQL*Plus Environment Variables
en la documentación de Oracle y vea además la guía de instalación de Oracle correspondiente a su sistema operativo. -
Agregue
$ORACLE_HOME/liba la variable de entornoLD_LIBRARY_PATH.En el ejemplo siguiente, se establece la variable de entorno LD_LIBRARY_PATH.
prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib -
Cree un directorio para el wallet de Oracle en
$ORACLE_HOME/ssl_wallet.En el ejemplo siguiente, se crea el directorio del wallet de Oracle.
prompt>mkdir $ORACLE_HOME/ssl_wallet -
Descargue el archivo de paquete de certificados .pem que funciona con todas las Regiones de AWS y coloque el archivo en el directorio ssl_wallet. Para obtener más información, consulte Uso de SSL/TLS para cifrar una conexión a una instancia o clúster de base de datos.
-
En el directorio
$ORACLE_HOME/network/admin, modifique o cree el archivotnsnames.orae incluya la siguiente entrada.net_service_name= (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCPS) (HOST =endpoint) (PORT =ssl_port_number) ) ) (CONNECT_DATA = (SID =database_name) ) (SECURITY = (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint") ) ) -
En el mismo directorio, modifique o cree el archivo sqlnet.ora e incluya los siguientes parámetros.
nota
Para comunicarse con entidades a través de una conexión segura TLS, Oracle requiere un wallet con los certificados necesarios para la autenticación. Puede usar la utilidad ORAPKI de Oracle para crear y mantener los wallets de Oracle, tal y como se muestra en el paso 7. Para obtener más información, consulte Setting Up Oracle Wallet Using ORAPKI (Configuración de wallet de Oracle mediante ORAPKI)
en la documentación de Oracle. WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) SSL_CLIENT_AUTHENTICATION = FALSE SSL_VERSION = 1.0 SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) SSL_SERVER_DN_MATCH = ONnota
Puede establecer
SSL_VERSIONen un valor superior si su instancia de base de datos es compatible. -
Ejecute el siguiente comando para crear el wallet de Oracle.
prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only -
Extraiga cada certificado del archivo de paquete .pem en un archivo .pem independiente mediante una utilidad del sistema operativo.
-
Agregue cada certificado a su wallet mediante comandos
orapkiindependientes y sustituyacertificate-pem-fileprompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -certcertificate-pem-file-auto_login_onlyPara obtener más información, consulte Rotar certificados SSL/TLS.
