Redhat 5 上的Oracle 11g配置SSL连接.docxVIP

Redhat 5 上的Oracle 11g配置SSL连接 前置声明 本例中Oracle的安装目录在/home/oracle，机构证书和用户证书放在/home/oracle/ssl/ca目录下，ssl和ca目录需要事先mkdir创建。 配置wallet 本步骤需要在客户端和服务器端进行，在oracle用户下运行own，程序在/home/oracle/app/oracle/product/11.2.0/dbhome_1/bin目录下 服务器端配置wallet 在oracle用户下运行own，如图： 点击wallet-新建，此时会提示默认wallet目录不存在，选择创建即可，如图： 此时会要求输入wallet口令，如图： 输入符合要求的wallet口令（本例中口令为prs3000），wallet类型选择标准，点击确定，如图： 选择是，继续 先写好相关信息，点击确定，如图： 此时own界面会出现证书请求的信息，如图： 点击wallet-保存到系统默认位置（注意一定要选保存到默认位置，避免引起不必要的麻烦），同时勾选wallet-自动登录（否则会报ORA-28759：无法打开文件），如图： 保存到系统默认位置 自动登录 保存完毕后可以点击wallet-另存为，查看保存位置，本例中保存在 /home/oracle/app/oracle/product/11.2.0/dbhome_1/owm/wallets/oracle目录下，再次打开own，可以从相应位置打开保存的wallet 选择wallet-证书[已请求]，然后点击操作-导出证书请求，如图： 此时会弹出对话框选择保存证书请求的目录，如图： 选择保存在/home/oracle/ssl目录下，文件名改成request.txt，选择保存，如图： 提示证书请求已经成功导出到/home/oracle/ssl/request.txt 客户端配置wallet 同服务器端配置，不一一叙述 生成机构证书 Wallet配置好后，需要生成机构证书。机构证书被用来对服务端和客户端的用户证书进行签名，只有服务端和客户端的证书请求都使用同一个机构证书生成用户证书，客户端才能连接上服务端。如果已经有机构证书，本步骤可以跳过。 首先输入openssl进入openssl（Linux下默认自动安装） 首先制作一个发行证书的请求 命令如下： req -new -newkey rsa:1024 -nodes -out /home/oracle/ssl/ca/ca.csr -keyout /home/oracle/ssl/ca/ca.key 敲击以上命令时注意空格键和tab键，建议不要复制，手动敲入 此时命令行会提示输入一些机构证书的信息，随意填写即可，如图： 随后ca目录下生成ca.csr和ca.key两个文件，如图： 输入发行结构的信息后，根据生成的发行证书的请求生成证书，cd进入/home/oracle/ssl/ca目录，输入命令如下： openssl x509 -signkey /home/oracle/ssl/ca/ca.key -req -in /home/oracle/ssl/ca/ca.csr -out /home/oracle/ssl/ca/ca.crt -CAcreateserial -days 365 如图所示： 生成文件ca.crt，如图： 生成用户证书 使用已经生成的机构证书生成用户证书，保证机构证书已经保存在/home/oracle/ssl/ca目录下，request.txt在/home/oracle/ssl目录下，cd进ca目录，运行如下命令： openssl x509 -req -in /home/oracle/ssl/request.txt -out user.crt -CA /home/oracle/ssl/ca/ca.crt -CAkey /home/oracle/ssl/ca/ca.key -CAcreateserial -days 365 如图： 生成文件user.crt和ca.srl文件 导入信任根证书和用户证书 机构证书和用户证书制作完毕后，由于机构证书不是CA认证机构办法的，所以还需要导入根证书 打开own，点击wallet-打开，采用wallet的默认目录，此时会提示输入wallet口令，如图： 采用默认目录，点击确定 输入之前设置好的wallet口令，点击确定，进入wallet主界面 提示wallet已成功打开 首先导入信任证书，点击操作-导入信任证书 如图： 选择包含证书的文件，点击确定 选择/home/oracle/ssl/ca目录下的ca.crt，点击确定，导入信任证书 可以看到信任证书zhangyun已经成功导入到wallet 再点击操作-导入用户证书，操作方法与导