1 創建Wallet認證請求
打開Oracle Wallet Manager,選擇Wallet菜單新建命令,輸入Wallet用戶名及密碼,Wallet類型選擇【標準】,點擊【確定】按鈕,在彈出的創建證書請求確認對話框選擇【是】,在創建證書請求對話框輸入【公用名稱】、組織單位、選擇【國家地區】,點擊【確定】按鈕。
鼠標右鍵點擊證書:[已請求]節點,在快捷菜單選擇【導出證書請求】命令,選擇證書請求存放目錄(如c:\ssl\ca),輸入請求文件名(如request),點擊保存按鈕。
選擇wallet菜單保存命令,指定wallet存放目錄(如c:\app\orcl\wallets),選擇【確定】按鈕。
選擇wallet菜單自動登錄命令,保持自動登錄勾選。
2 創建SSL數字證書
安裝openssl軟件,創建證書存放目錄(c:\ssl\ca)。
創建發行證書請求
openssl req -new -newkey rsa:1024 -nodes -out c:/ssl/ca/ca.csr -keyout c:/ssl/ca/ca.key
在Country Name、Organize Name、Common Name分別輸入創建證書請求時的對應信息。
創建信任證書
openssl x509 -signkey c:/ssl/ca/ca.key -req -in c:/ssl/ca/ca.csr -out c:/ssl/ca/ca.crt -CAcreateserial -days 365
根據Wallet請求製作用戶證書
openssl x509 -req -in c:/ssl/ca/request.txt -out c:/ssl/ca/user.crt -CA c:/ssl/ca/ca.crt -CAkey c:/ssl/ca/ca.key -CAcreateserial -days 365
3 導入數字證書
打開Oracle Wallet Manager,選擇操作菜單下的導入信任證書命令,選擇c:/ssl/ca/ca.crt文件,導入成功後出現在信任證書節點下。
選擇操作菜單下的導入用戶證書命令,選擇c:/ssl/ca/user.crt文件,導入成功後證書節點狀態由[已請求]變爲[就緒]。
選擇wallet菜單保存命令,指定wallet存放目錄,選擇【確定】按鈕。
選擇wallet菜單自動登錄命令,保持自動登錄勾選。
4 創建Oracle SSL監聽連接
打開Oracle Net Manager,選擇本地節點下的概要文件,選擇右側窗口的網絡安全屬性,選擇SSL標籤,輸入上面配置Wallet保存目錄(如c:\app\orcl\wallets),選擇服務器設置,勾選需要客戶機驗證,選擇文件菜單下的保存網絡配置命令。
選擇本地節點下的監聽程序,選擇編輯菜單下的創建命令,輸入監聽名(如LISTENER2)在右側窗口選擇監聽位置屬性,點擊【添加地址】按鈕,在添加的地址頁中選擇協議使用SSL的TCP/IP,然後輸入監聽的主機IP及端口(2484),選擇顯示高級設置按鈕,在發送和接收緩衝區大小總計編輯框輸入32768,選擇文件菜單下的保存網絡配置命令。
在右側窗口選擇數據庫服務屬性,分別輸入全局數據庫名(如ORCL),Oracle主目錄(如C:\app\orcl\product\12.2.0\dbhome_1)、SID(如ORCL),選擇文件菜單下的保存網絡配置命令。
命令行模式輸入以下命令啓動SSL監聽程序
lsnrctl start LISTENER2
查看程序輸出信息,確認命令執行成功,否則返回檢查上面各個步驟。
5 配置Oracle SSL連接客戶端
拷貝已配置SSL監聽的Oracle服務器Wallet文件目錄到客戶機(如c:\app\wallet1)。
打開客戶機Oracle Net Manager,選擇本地節點下的概要文件,選擇右側窗口的網絡安全屬性,選擇SSL標籤,輸入上面Wallet保存目錄(如c:\app\orcl\wallets)。
選擇本地節點下的服務命名節點,選擇編輯菜單下的創建命令,輸入網絡服務名(如ssl_orcl), 選擇使用SSL的TCP/IP協議,輸入Oracle SSL監聽主機和端口(2484),服務名輸入數據庫全局名稱,點擊【測試】按鈕檢查配置參數是否正確,確認後點擊【完成】按鈕。