Conexiones Oracle JDBC con SSL

Si se conecta a un servidor SSL (capa de socket de seguridad), active la casilla Requerir SSL.

A partir de la versión 2020.2, Oracle utiliza un conector JDBC. Si la fuente de datos de Oracle está configurada para utilizar la autenticación SSL unidireccional o bidireccional, puede incluir los certificados o la clave adecuados para conectarse.

Requerir SSL

Si su conexión requiere SSL, siga estos pasos:

  1. En el cuadro de diálogo del conector, haga clic en Requerir SSL.

  2. Configure SSL según corresponda para su conexión:

Configurar SSL unidireccional para Oracle

Para configurar la confianza para el certificado de servidor, consulte las instrucciones generales para los conectores JDBC en el siguiente enlace: Configurar SSL unidireccional para conexiones JDBC.

Si decide utilizar archivos de propiedades para configurar la confianza, utilice las siguientes propiedades para el controlador JDBC de Oracle.

javax.net.ssl.trustStore=C:\\My_Folder\\truststore.jks
javax.net.ssl.trustStoreType=JKS
javax.net.ssl.trustStorePassword=password

Nota: Para publicar un libro de trabajo en Tableau Server, tanto los equipos de Tableau Desktop como de Tableau Server deben tener copias del mismo archivo de propiedades de Oracle y del archivo truststore.jks.

Configurar SSL bidireccional

Hay dos opciones para configurar la compatibilidad SSL bidireccional con una conexión de Oracle:

Opción 1: insertar certificados de cliente y clave privada en la fuente de datos

Para insertar un certificado SSL, un certificado de cliente y una clave de cliente:

  1. Siga los pasos descritos en Configurar SSL unidireccional para Oracle para configurar la confianza del servidor, si es necesario.
  2. Haga clic en Certificado de cliente >>.

  3. Especifique las ubicaciones del certificado de cliente y la clave de cliente.
    El certificado y la clave privada deben estar en formato PEM sin cifrar. Consulte las instrucciones más adelante en este documento para obtener sugerencias sobre cómo convertir al formato correcto.

Opción 2: Utilizar un archivo de propiedades para configurar el certificado de cliente y la clave privada

Para utilizar un archivo de propiedades para la configuración de certificados y claves:

  1. Modifique el archivo oracle.properties para reflejar la configuración del almacén de claves y del almacén de confianza. Utilice lo siguiente como ejemplo. Reemplace "My_Folder" por la ubicación de sus archivos y "<password>" con su propia contraseña. Las rutas de acceso en OSX y Linux solo necesitan una "/" para separar.

    javax.net.ssl.trustStore=C:\\My_Folder\\truststore.jks
    javax.net.ssl.trustStoreType=JKS
    javax.net.ssl.trustStorePassword=<password>
    javax.net.ssl.keyStore=C:\\My_Folder\\keystore.jks
    javax.net.ssl.keyStoreType=JKS
    javax.net.ssl.keyStorePassword=password

  2. Guarde oracle.properties en la carpeta <Document>\MyTableau Respository\Datasources.
  3. Copie oracle.properties, truststore.jks y keystore.jks en el equipo de Tableau Server. Esto permite que el libro de trabajo se publique en Tableau Server.

Si utiliza este método, no es necesario cargar certificados y claves a través del cuadro de diálogo de SSL. En su lugar, haga clic en Requerir SSL. Esto hace que el conector JDBC de Oracle lea las ubicaciones del almacén de claves y el almacén de confianza desde el archivo oracle.properties.

Publicar un libro de trabajo

Para publicar un libro de trabajo en Tableau Server, asegúrese de que se cumple lo siguiente:

  • Si usa un archivo de propiedades, tanto los equipos de Tableau Desktop como de Tableau Server tienen copias del mismo archivo de propiedades de Oracle, truststore.jks y keystore.jks.
  • Server utiliza el mismo conector JDBC de Oracle que el equipo de Tableau Desktop.
  • Si usó la opción Insertar , seleccione la opción "insertar contraseña" al publicar.

Convertir formatos clave

Existen varios formatos para almacenar claves SSL, entre ellos:

  • Oracle Wallet
  • JKS: utilice este formato si desea configurar la confianza SSL mediante archivos de propiedades.
  • PEM: utilice este formato si desea incrustar las claves en la fuente de datos mediante la interfaz de Tableau.

Los siguientes son algunos comandos sugeridos que puede escribir en el símbolo del sistema para convertir las claves al formato correcto. Consulte la documentación de Oracle para obtener más detalles.

Para exportar un certificado de servidor desde un Oracle Wallet a un archivo PEM:

orapki wallet export -wallet wallet_location -dn certificate_dn -cert output_certificate_filename.pem

Para exportar certificados de servidor y claves de cliente desde Oracle Wallet a JKS:

orapki wallet pkcs12_to_jks -wallet ./ -pwd mypasswd -jksKeyStoreLoc ./ewalletK.jks -jksKeyStorepwd password -jksTrustStoreLoc ./ewalletT.jks -jksTrustStorepwd password

Para exportar el certificado de servidor desde el almacén de confianza de JKS a un archivo PEM mediante keytool y OpenSSL:

  1. Exportar formato JKS al formato PKCS12:

    keytool -importkeystore -srckeystore truststore.jks -destkeystore truststore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass "password" -deststorepass "password"

  2. Obtener el archivo PEM de PKCS12:

    openssl pkcs12 -in truststore.p12 -out serverca.pem

Para exportar el certificado de servidor y las claves de cliente desde el almacén de confianza de JKS a un archivo PEM mediante keytool y OpenSSL:

  1. Exporte el certificado desde el almacén de confianza siguiendo estos pasos.
    1. Exportar formato JKS al formato PKCS12:

      keytool -importkeystore -srckeystore truststore.jks -destkeystore truststore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass "password" -deststorepass "password"

    2. Obtener el archivo PEM de PKCS12:

      openssl pkcs12 -in truststore.p12 -out serverca.pem

  2. Exporte la clave de cliente y el certificado de cliente desde el almacén de claves siguiendo estos pasos.
    1. Utilice keytool para transformar el formato JKS al formato PCKS12:

      keytool.exe -importkeystore -srckeystore keystore.jks -destkeystore keystore.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass "password" -deststorepass "password"

    2. Utilizar OpenSSL para exportar el certificado de cliente:

      openssl pkcs12 -in keystore.p12 -nokeys -out clientcert.pem

    3. Utilizar OpenSSL para exportar la clave de cliente:

      openssl pkcs12 -in keystore.p12 -nocerts -out clientkeyEncrypted.pem

    4. Utilizar OpenSSL para transformar la versión cifrada al formato PKCS8:

      openssl pkcs8 -topk8 -nocrypt -in clientkeyEncrypted.pem -out clientkey.pem

Consulte también

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!