ウォレットを使用したOracle Call Interface、ODBCおよびJDBC OCI接続の準備(mTLS)

任意のタイプのOracle Call Interface (OCI)接続をmTLS認証で準備するには、クライアント・ソフトウェアのインストール、クライアント資格証明のダウンロード、および特定のファイルと環境変数の構成が必要です。

このトピックでは、Autonomous DatabaseインスタンスからダウンロードしたウォレットでmTLS認証を使用して接続するアプリケーションを準備するステップについて説明します。これらの接続タイプでのTLS認証を準備するステップの詳細は、TLS認証を使用したOracle Call Interface、ODBCおよびJDBC OCI接続の準備を参照してください。

新規Oracle Clientインストール

次の手順では、クライアントコンピュータに Oracleクライアントソフトウェアがまだインストールされていないことを前提としています。Oracleクライアント・ソフトウェアがすでにインストールされており、sqlnet.oraおよびtnsnames.oraの作業用コピーがある場合は、「既存のOracle Clientインストールの更新」を参照してください。

Oracle Call Interface (OCI)、ODBC、またはJDBC OCI接続を行う前に、次の手順を実行します。

  1. Oracle Clientソフトウェアをコンピュータにインストールします。

    • Oracle Instant Client/Oracle Database Client: 18.19 (以上)、19.2 (以上)、または21 (ベース・リリース以上)Instant Clientには、Oracle Call Interface接続を行うために必要な最小限のソフトウェアが含まれます。

  2. クライアント資格証明をダウンロードして、クライアント・コンピュータのセキュアなフォルダにファイルを格納します。「クライアント資格証明(ウォレット)のダウンロード」を参照してください。

  3. 資格証明ファイルをクライアント・コンピュータのセキュアなフォルダに解凍/圧縮解除します。

  4. 資格証明ファイルを解凍したフォルダのsqlnet.oraファイルを編集して、"?/network/admin"を、クライアント資格証明を含むフォルダの名前に置き換えます。

    たとえば、次のようにsqlnet.oraを編集します。

    WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="?/network/admin")))
    SSL_SERVER_DN_MATCH=yes

    UNIX/Linuxで変更された値は次のとおりです。

    WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="/home/adb_credentials")))
    SSL_SERVER_DN_MATCH=yes
    

    Windowsの変更値は次のとおりです。

    WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="D:\\myapp\\adb_credentials")))
    SSL_SERVER_DN_MATCH=yes
    
  5. TNS_ADMIN環境変数を作成して、資格証明ファイルの場所に設定します。

    この環境変数を使用して、Oracle Net Services構成ファイルのディレクトリ・パスを、デフォルトの場所であるORACLE_HOME\network\adminから、ステップ2で保存した資格証明ファイルを含むセキュアなフォルダの場所に変更します。TNS_ADMIN環境変数を、資格証明ファイルのそれ自体ではなく、解凍した資格証明ファイルが存在するディレクトリに設定します。

    たとえば、UNIX/Linuxでは、TNS_ADMINを、クライアント資格証明を解凍したディレクトリのフルパスに設定します:

    export TNS_ADMIN=/home/adb_credentials

    たとえば、Windowsの場合:

    set TNS_ADMIN=d:\myapp\adb_credentials

HTTPプロキシを使用した接続

クライアントがファイアウォールの背後にあり、ネットワーク構成でインターネットに接続するためにHTTPプロキシが必要な場合、次のステップを実行してsqlnet.oraおよびtnsnames.oraファイルを更新します。HTTPプロキシを介した接続は、Oracle Clientソフトウェア・バージョン12.2.0.1以降でのみ使用できます。

ノート

sqlnet.oraおよびtnsnames.oraファイルの手動更新を回避するために、SQLclを使用してコマンドラインでHTTPプロキシを指定できます。詳細は、「Oracle SQLcl CloudとWallet (mTLS)の接続」を参照してください。
  1. 次の行をsqlnet.oraファイルに追加して、HTTPプロキシを介した接続を有効化します。

    SQLNET.USE_HTTPS_PROXY=on
  2. HTTPプロキシのホスト名とポートを、tnsnames.oraの接続定義に追加します。接続定義のアドレス・セクションにhttps_proxyおよびhttps_proxy_portパラメータを追加する必要があります。たとえば、次のセクションではHTTPプロキシをproxyhostnameに、HTTPプロキシ・ポートを80に設定します(これらの値は、各お客様のHTTPプロキシ情報に置き換えてください)。

    ADB1_high =
           (description=
                 (address=
                       (https_proxy=proxyhostname)(https_proxy_port=80)(protocol=tcps)(port=1522)(host=adb.example.oraclecloud.com)
                 )
                 (connect_data=(service_name=adb1_high.adb.oraclecloud.com)
                 )
                 (security=(ssl_server_dn_match=yes))
                 )
           )

ノート

組織のネットワーク構成とセキュリティ・ポリシーによっては、HTTPプロキシのsqlnet.oraおよびtnsnames.oraの構成のみでは不十分な場合があります。たとえば、一部のネットワークでは、HTTPプロキシ用のusernamepasswordが必要です。このような場合、ネットワーク管理者に依頼して、HTTPプロキシを経由せずにポート1522を使用してoraclecloud.comドメイン内のホストへのアウトバウンド接続を開きます。

SQLNET.USE_HTTPS_PROXYの詳細は、ネット・サービス・リファレンスを参照してください

HTTPS_PROXYおよびHTTPS_PROXY_PORTの詳細は、「プロトコル・アドレス・セクション」を参照してください。

既存のOracle Clientインストールの更新

既存のOracle Clientインストールがある場合、すでにsqlnet.oraおよびtnsnames.oraファイルとTNS_ADMIN環境変数が保持しています。この場合、次を行います。

  1. 次の内容を追加してsqlnet.oraファイルを更新します。

    WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="/home/adb_credentials")))
  2. Autonomous Databaseウォレットに用意されているtnsnames.oraファイルのエントリを、既存のtnsnames.oraファイルにコピーします。