如何设置Oracle 12c灾备中心SSL加密通信,调整sqlnet.ora与钱包设置?
- 内容介绍
- 文章标签
- 相关推荐
本文共计987个文字,预计阅读时间需要4分钟。
相关专题:
Oracle 12c容灾环境必须先确认主备库监听器都启用了TCPS
容灾场景下,ssl加密不是只在主库配完就完事——备库(如物理standby或adg)的监听器也必须监听tcps协议,否则客户端切换到备库时连接直接失败。常见错误是ora-12537或ora-12170,表面看是网络问题,实际是备库listener.ora里没加(protocol=tcps)地址。
检查方式很简单:lsnrctl status输出中必须同时看到tcps和tcp两个协议行,端口通常错开(比如主库TCPS用1522,备库也得配1522,不能只留1521)。如果用的是Data Guard Broker,还要确认StaticConnectIdentifier里地址已更新为TCPS格式。
- 主备库的
sqlnet.ora需完全一致:至少包含SSL_VERSION = 1.2、SSL_CLIENT_AUTHENTICATION = FALSE(单向认证够用) - 不要在
sqlnet.ora里写WALLET_LOCATION——容灾切换时路径可能不一致,应由客户端自行指定Wallet位置 - 若使用Oracle Restart或GI管理监听器,修改
listener.ora后必须用srvctl stop listener && srvctl start listener重启,lsnrctl reload不生效
Wallet必须在主备库分别生成并导出公钥证书
很多人以为主库生成一次Wallet、复制到备库就能用,这是错的。Oracle 12c的TCPS要求每个实例有独立的私钥,且证书DN(Distinguished Name)必须匹配各自主机名。否则备库启动时会报ORA-28860: Fatal SSL error,或者客户端连备库时校验失败。
正确做法是:在主库服务器上用orapki wallet create生成Wallet,再用orapki wallet add -self_signed签发证书;同样操作在备库服务器上再做一遍,确保-dn "CN=`hostname`"里的hostname是各自真实主机名。之后把各自生成的cwallet.sso和导出的.crt文件分开放置。
- 导出证书命令必须带
-dn参数,且值要和add时完全一致,否则orapki wallet export找不到条目 - 备库的Wallet不需要导入主库证书——TCPS单向认证只验证服务端证书,不依赖双向信任链
- 如果用Data Guard Broker管理,记得用
ALTER SYSTEM SET WALLET_ROOT='/path/to/wallet' SCOPE=SPFILE统一指定根路径(12cR2+支持),避免切换后路径丢失
客户端连接字符串必须适配容灾角色切换
容灾环境的客户端不能写死一个TCPS地址。当主备切换后,原主库变备库,其TCPS监听可能被停掉,而新主库的TCPS端口虽相同,但Wallet路径、证书信任关系可能不同。硬编码URL会导致故障转移后连接中断。
推荐用TNS别名+DESCRIPTION_LIST实现自动故障转移,并显式指定Wallet位置:
mydb = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = primary-host)(PORT = 1522)) (CONNECT_DATA = (SERVICE_NAME = orcl))) (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = standby-host)(PORT = 1522)) (CONNECT_DATA = (SERVICE_NAME = orcl))) ) (SECURITY = (MY_WALLET_DIRECTORY = /u01/app/oracle/wallets/client))
-
SECURITY.MY_WALLET_DIRECTORY必须是绝对路径,且目录下要有cwallet.sso——ODP.NET和JDBC Thin都会读这个位置 - 不要在TNS中设
SSL_SERVER_DN_MATCH=on,它只在JDBC URL里有效;TNS里靠Wallet本身保证证书有效性 - Java客户端仍需在JVM启动参数里加
-Doracle.net.ssl_server_dn_match=true,否则即使Wallet正确也会跳过域名校验
最容易被忽略的权限与SELinux陷阱
在Linux容灾环境中,Wallet文件权限和SELinux上下文经常导致ORA-28759: failure to open file。这不是配置错误,而是系统级限制:Oracle进程需要读取cwallet.sso,但默认创建的Wallet文件权限是600,且SELinux可能标记为unconfined_u:object_r:user_home_t:s0,而Oracle监听器运行在oracle_db_t域下,无法访问。
- 修复权限:
chmod 600 /u02/app/oracle/wallet/cwallet.sso && chown oracle:oinstall /u02/app/oracle/wallet/ - 修复SELinux:
semanage fcontext -a -t oracle_exec_t "/u02/app/oracle/wallet(/.*)?" && restorecon -Rv /u02/app/oracle/wallet - Windows环境下注意:IIS应用池或Windows服务运行账户必须对Wallet目录有“读取&执行”权限,仅“读取”不够
这些权限问题在单机测试时往往不暴露,一到容灾切换、跨主机挂载或容器部署就立刻触发——因为运行上下文变了。
本文共计987个文字,预计阅读时间需要4分钟。
相关专题:
Oracle 12c容灾环境必须先确认主备库监听器都启用了TCPS
容灾场景下,ssl加密不是只在主库配完就完事——备库(如物理standby或adg)的监听器也必须监听tcps协议,否则客户端切换到备库时连接直接失败。常见错误是ora-12537或ora-12170,表面看是网络问题,实际是备库listener.ora里没加(protocol=tcps)地址。
检查方式很简单:lsnrctl status输出中必须同时看到tcps和tcp两个协议行,端口通常错开(比如主库TCPS用1522,备库也得配1522,不能只留1521)。如果用的是Data Guard Broker,还要确认StaticConnectIdentifier里地址已更新为TCPS格式。
- 主备库的
sqlnet.ora需完全一致:至少包含SSL_VERSION = 1.2、SSL_CLIENT_AUTHENTICATION = FALSE(单向认证够用) - 不要在
sqlnet.ora里写WALLET_LOCATION——容灾切换时路径可能不一致,应由客户端自行指定Wallet位置 - 若使用Oracle Restart或GI管理监听器,修改
listener.ora后必须用srvctl stop listener && srvctl start listener重启,lsnrctl reload不生效
Wallet必须在主备库分别生成并导出公钥证书
很多人以为主库生成一次Wallet、复制到备库就能用,这是错的。Oracle 12c的TCPS要求每个实例有独立的私钥,且证书DN(Distinguished Name)必须匹配各自主机名。否则备库启动时会报ORA-28860: Fatal SSL error,或者客户端连备库时校验失败。
正确做法是:在主库服务器上用orapki wallet create生成Wallet,再用orapki wallet add -self_signed签发证书;同样操作在备库服务器上再做一遍,确保-dn "CN=`hostname`"里的hostname是各自真实主机名。之后把各自生成的cwallet.sso和导出的.crt文件分开放置。
- 导出证书命令必须带
-dn参数,且值要和add时完全一致,否则orapki wallet export找不到条目 - 备库的Wallet不需要导入主库证书——TCPS单向认证只验证服务端证书,不依赖双向信任链
- 如果用Data Guard Broker管理,记得用
ALTER SYSTEM SET WALLET_ROOT='/path/to/wallet' SCOPE=SPFILE统一指定根路径(12cR2+支持),避免切换后路径丢失
客户端连接字符串必须适配容灾角色切换
容灾环境的客户端不能写死一个TCPS地址。当主备切换后,原主库变备库,其TCPS监听可能被停掉,而新主库的TCPS端口虽相同,但Wallet路径、证书信任关系可能不同。硬编码URL会导致故障转移后连接中断。
推荐用TNS别名+DESCRIPTION_LIST实现自动故障转移,并显式指定Wallet位置:
mydb = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = primary-host)(PORT = 1522)) (CONNECT_DATA = (SERVICE_NAME = orcl))) (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = standby-host)(PORT = 1522)) (CONNECT_DATA = (SERVICE_NAME = orcl))) ) (SECURITY = (MY_WALLET_DIRECTORY = /u01/app/oracle/wallets/client))
-
SECURITY.MY_WALLET_DIRECTORY必须是绝对路径,且目录下要有cwallet.sso——ODP.NET和JDBC Thin都会读这个位置 - 不要在TNS中设
SSL_SERVER_DN_MATCH=on,它只在JDBC URL里有效;TNS里靠Wallet本身保证证书有效性 - Java客户端仍需在JVM启动参数里加
-Doracle.net.ssl_server_dn_match=true,否则即使Wallet正确也会跳过域名校验
最容易被忽略的权限与SELinux陷阱
在Linux容灾环境中,Wallet文件权限和SELinux上下文经常导致ORA-28759: failure to open file。这不是配置错误,而是系统级限制:Oracle进程需要读取cwallet.sso,但默认创建的Wallet文件权限是600,且SELinux可能标记为unconfined_u:object_r:user_home_t:s0,而Oracle监听器运行在oracle_db_t域下,无法访问。
- 修复权限:
chmod 600 /u02/app/oracle/wallet/cwallet.sso && chown oracle:oinstall /u02/app/oracle/wallet/ - 修复SELinux:
semanage fcontext -a -t oracle_exec_t "/u02/app/oracle/wallet(/.*)?" && restorecon -Rv /u02/app/oracle/wallet - Windows环境下注意:IIS应用池或Windows服务运行账户必须对Wallet目录有“读取&执行”权限,仅“读取”不够
这些权限问题在单机测试时往往不暴露,一到容灾切换、跨主机挂载或容器部署就立刻触发——因为运行上下文变了。