Configurazione di SQL*Plus per l'utilizzo di SSL con un'istanza database RDS per Oracle - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di SQL*Plus per l'utilizzo di SSL con un'istanza database RDS per Oracle

Prima di connetterti a un'istanza database RDS per Oracle che utilizza l'opzione SSL di Oracle, devi configurare SQL*Plus.

Nota

Per concedere l'accesso all'istanza database dai client appropriati, verifica che i gruppi di sicurezza siano configurati correttamente. Per ulteriori informazioni, consulta Controllo dell'accesso con i gruppi di sicurezza. Inoltre, queste istruzioni si riferiscono a SQL*Plus e ad altri client che usano direttamente una home directory Oracle. Per le connessioni JDBC, consulta Configurazione di una connessione SSL su JDBC.

Per configurare SQL*Plus in modo che utilizzi SSL per connettersi a un'istanza database RDS per Oracle

  1. Imposta la variabile di ambiente ORACLE_HOME sulla posizione della home directory di Oracle.

    Il percorso della home directory di Oracle dipende dall'installazione. Nell'esempio seguente viene impostata la variabile di ambiente ORACLE_HOME.

    prompt>export ORACLE_HOME=/home/user/app/user/product/19.0.0/dbhome_1

    Per informazioni sull'impostazione delle variabili di ambiente di Oracle, consulta Variabili di ambiente di SQL*Plus nella documentazione di Oracle e la guida di installazione di Oracle per il tuo sistema operativo.

  2. Aggiungi $ORACLE_HOME/lib alla variabile di ambiente LD_LIBRARY_PATH.

    Nell'esempio seguente viene impostata la variabile di ambiente LD_LIBRARY_PATH.

    prompt>export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORACLE_HOME/lib

  3. Crea una directory per il wallet Oracle nel percorso $ORACLE_HOME/ssl_wallet.

    Nell'esempio seguente viene creata la directory per il wallet Oracle.

    prompt>mkdir $ORACLE_HOME/ssl_wallet

  4. Scarica il file .pem del bundle di certificati che funziona per tutte le Regioni AWS e inseriscilo nella directory ssl_wallet. Per informazioni, consultare .

  5. Nella directory $ORACLE_HOME/network/admin, modifica o crea il file tnsnames.ora e includi la voce seguente.

    net_service_name = 
  (DESCRIPTION = 
    (ADDRESS_LIST = 
      (ADDRESS = 
        (PROTOCOL = TCPS) 
        (HOST = endpoint) 
        (PORT = ssl_port_number)
      )
    )
    (CONNECT_DATA = 
      (SID = database_name)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "C=US,ST=Washington,L=Seattle,O=Amazon.com,OU=RDS,CN=endpoint")
    )
  )

  6. Nella stessa directory, modifica o crea il file sqlnet.ora e includi i parametri seguenti.

    Nota

    Per comunicare con le entità tramite una connessione protetta TLS, Oracle richiede un wallet con i certificati necessari per l'autenticazione. È possibile utilizzare l'utility ORAPKI di Oracle per creare e gestire i wallet Oracle, come mostrato nel fase 7. Per ulteriori informazioni, consulta Setting Up Oracle Wallet Using ORAPKI nella documentazione Oracle.

    WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = $ORACLE_HOME/ssl_wallet))) 
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.0 
SSL_CIPHER_SUITES = (SSL_RSA_WITH_AES_256_CBC_SHA) 
SSL_SERVER_DN_MATCH = ON
    Nota

    È possibile impostare SSL_VERSION su un valore più alto se supportato dall'istanza database.

  7. Esegui il comando seguenti per creare il wallet Oracle.

    prompt>orapki wallet create -wallet $ORACLE_HOME/ssl_wallet -auto_login_only

  8. Estrai ogni certificato nel file bundle .pem in un file .pem separato utilizzando un’utilità del sistema operativo.

  9. Aggiungi ogni certificato al tuo wallet utilizzando comandi orapki separati, sostituendo certificate-pem-file con il nome di file assoluto del file .pem.

    prompt>orapki wallet add -wallet $ORACLE_HOME/ssl_wallet -trusted_cert -cert
      certificate-pem-file -auto_login_only

    Per ulteriori informazioni, consulta Rotazione del certificato SSL/TLS.