How To - 如何在Oracle EM Console 停用SSL並啟用TLS?
How To - 如何在Oracle EM Console 停用SSL並啟用TLS?
最近蠻多客戶在問,是否能在Oracle EM Console 停用SSL並啟用TLS?
因為資安要求,越來越多客戶想了解在Oracle EM Console實作TLS的可能性,本文章將以下列主題進行說明:
Oracle EM Console支援的SSL與TLS版本清單
由下圖可以了解目前在Oracle EM Console支援的SSL與TLS其對應版本。
不同Oracle DB會有搭配的JDK版本,最主要是因為JDK 有個JCE套件,JCE套件用來為SSL與TLS進行加解密,可參考Oracle Doc ID 1938799.1。
SSL與TLS於Oracle官方相關設定的Document list
如何在EM Console停用SSL並啟用TLS?
Step 1-查看DB Console的port number
emctl status dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.2.0.1.0
Copyright (c) 1996, 2010 Oracle Corporation. All rights reserved.
https://ORA11GEE:1158/em/console/aboutApplication
Step 2-查看目前SSL使用情形
openssl s_client -connect ORA11GEE:1158 -ssl3
Step3-停用EM DB Console
emctl stop dbconsole
Step4-下載更新的JDK
Step 5-忽略更新JCE的步驟
emd.properties檔案位於$ORACLE_HOME/hostname_sid/sysman/config
emctl start dbconsole
Step 9-進行openssl的SSL3檢查
openssl s_client -connect ORA11GEE:1158 -ssl3
執行結果:
Loading 'screen' into random state - done
CONNECTED(000000FC)
3624:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:./ssl/s3_pkt.c:284:
Step 10-進行openssl的SSL2檢查
openssl s_client -connect ORA11GEE:1158 -ssl2
執行結果:
Loading 'screen' into random state - done
CONNECTED(000000FC)
4048:error:1406D0CB:SSL routines:GET_SERVER_HELLO:peer error no cipher:./ssl/s2_pkt.c:675:
4048:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:./ssl/s2_pkt.c:428:
Step 11-進行openssl的TLS檢查
openssl s_client -connect ORA11GEE:1158 -tls1
執行結果:
設定停用 SSL2及SSL3完成,並設定啟用TLS成功。
結語
若想支援至TLS V.1.2的版本,只有Oracle EM 13c及以上的版本才有支援,這樣的資訊在Oracle官方可查到這樣的訊息。希望以上提供的資訊,能對您設定TLS有所幫助。
最近蠻多客戶在問,是否能在Oracle EM Console 停用SSL並啟用TLS?
因為資安要求,越來越多客戶想了解在Oracle EM Console實作TLS的可能性,本文章將以下列主題進行說明:
- EM Console目前支援的SSL與TLS版本清單
- 相關設定Document list
- 如何在EM Console停用SSL並啟用TLS
Oracle EM Console支援的SSL與TLS版本清單
由下圖可以了解目前在Oracle EM Console支援的SSL與TLS其對應版本。
不同Oracle DB會有搭配的JDK版本,最主要是因為JDK 有個JCE套件,JCE套件用來為SSL與TLS進行加解密,可參考Oracle Doc ID 1938799.1。
- For TLS versions 1.1 and 1.2, JDK 7(JDK 1.7.x) is needed.
- EM 12.1.0.x has been certified with JDK 6 and not with JDK 7.
- TLS 1.1 & 1.2 is planned in the next major release of EM Cloud Control.
SSL與TLS於Oracle官方相關設定的Document list
【以下的範例以Oracle EM Console 11g 版本進行說明】
如何在EM Console停用SSL並啟用TLS?
Step 1-查看DB Console的port number
emctl status dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.2.0.1.0
Copyright (c) 1996, 2010 Oracle Corporation. All rights reserved.
https://ORA11GEE:1158/em/console/aboutApplication
Step 2-查看目前SSL使用情形
openssl s_client -connect ORA11GEE:1158 -ssl3
Step3-停用EM DB Console
emctl stop dbconsole
Step4-下載更新的JDK
- Download and Upgrade JDK from "1.5.0_81" to "1.5.0_85" using Patch 20418696(以下請參考Oracle Doc ID 2090076.1進行JDK更新)
- 從Oracle官網下載Patch 20418696: Oracle JDK 5.0 Update 85 ,備份Oracle Home下的jdk目錄後,將解開的JDK進行安裝,將安裝後的Java整個目錄複製到ORACLE_HOME的jdk目錄下
Step 5-忽略更新JCE的步驟
- 請忽略在文件Oracle Doc ID 1946195.1中下面這一段的步驟
Ensure that 11.2.0.4 Jan PSU / CPU patch or later is applied to the database Oracle Home. The latest one is October PSU (patch 24006111)
- 這個步驟下載的JCE版本是2004年的,更新JDK之後已安裝的JCE是2015年的版本反而較新
- Oracle 11.2.0.1與11.2.0.3及11.2.0.4 EM Console版本
emctl secure dbconsole -cipher_suites TLS_RSA_WITH_AES_256_CBC_SHA - Oracle 11.2.0.2的EM Console EM Console版本
emctl secure dbconsole -cipher_suites TLS_RSA_WITH_AES_128_CBC_SHA
emd.properties檔案位於$ORACLE_HOME/hostname_sid/sysman/config
- 將“SSLCipherSuites=” 這行以#整行備註起來
#SSLCipherSuites=TLS_RSA_WITH_AES_256_CBC_SHA:SSL_RSA_WITH_AES_256_CBC_SHA
- 修改參數(parameter)
#DisableSSLV2=false
to
DisableSSLV2=true
- 將下面這行加到emd.properties檔案的最後一行
AllowTLSOnly=true
- save the file
emctl start dbconsole
Step 9-進行openssl的SSL3檢查
openssl s_client -connect ORA11GEE:1158 -ssl3
執行結果:
Loading 'screen' into random state - done
CONNECTED(000000FC)
3624:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:./ssl/s3_pkt.c:284:
Step 10-進行openssl的SSL2檢查
openssl s_client -connect ORA11GEE:1158 -ssl2
執行結果:
Loading 'screen' into random state - done
CONNECTED(000000FC)
4048:error:1406D0CB:SSL routines:GET_SERVER_HELLO:peer error no cipher:./ssl/s2_pkt.c:675:
4048:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:./ssl/s2_pkt.c:428:
Step 11-進行openssl的TLS檢查
openssl s_client -connect ORA11GEE:1158 -tls1
執行結果:
設定停用 SSL2及SSL3完成,並設定啟用TLS成功。
結語
若想支援至TLS V.1.2的版本,只有Oracle EM 13c及以上的版本才有支援,這樣的資訊在Oracle官方可查到這樣的訊息。希望以上提供的資訊,能對您設定TLS有所幫助。
留言
張貼留言