安全連接-配置使用安全套接層連接oracle

配置平安套接層連接oracle書目1. 配置簡介 22. 運(yùn)用WalletManager創(chuàng)建Wallet和生成認(rèn)證懇求 22.1. 創(chuàng)建Wallet 22.2. 創(chuàng)建認(rèn)證懇求 32.3. 導(dǎo)出證書懇求 32.4. 保存Wallet位置 32.5. 讓W(xué)allet自動(dòng)登錄 43. 運(yùn)用openssl工具制作數(shù)字證書 43.1. 創(chuàng)建制作證書書目 43.2. 制作發(fā)行證書 43.3. 制作用戶證書 54. 導(dǎo)入信認(rèn)根證書和用戶證書 54.1. 導(dǎo)入信認(rèn)根證書 54.2. 導(dǎo)入用戶證書 55. 配置運(yùn)用SSL的TCP/IP連接服務(wù)端 55.1. 確認(rèn)服務(wù)器已經(jīng)生成Wallet 65.2. 指定監(jiān)聽服務(wù)Wallet存放位置 65.3. 創(chuàng)建監(jiān)聽運(yùn)用ssl的TCP/IP協(xié)議 75.4. 配制數(shù)據(jù)庫監(jiān)聽位置 86. 配置運(yùn)用SSL的TCP/IP連接客戶端 106.1. 確認(rèn)客戶端已經(jīng)生成Wallet 116.2. 配置的Oracle網(wǎng)絡(luò)服務(wù)名稱 116.3. 客戶端配置Wallet位置 137. 連接數(shù)據(jù)庫 148. 疑難解答 149. Wallet管理方案 1810. 參考文獻(xiàn) 18

配置簡介這里采納平安套接層連接oracle指的是運(yùn)用ssl的tcp/ip協(xié)議連接oracle數(shù)據(jù)庫，由于ssl的tcps/ip協(xié)議是采納公鑰和私鑰進(jìn)行數(shù)據(jù)加密，為了解決通信雙方的可信問題，運(yùn)用了數(shù)字證書，而orcle是采納“WalletManager”來管理證書和公鑰和私鑰。配置ssl的tcp/ip協(xié)議連接oracle數(shù)據(jù)庫，大體步驟分為以下6步：運(yùn)用WalletManager創(chuàng)建Wallet和生成認(rèn)證懇求；運(yùn)用openssl工具制作數(shù)字證書；導(dǎo)入信認(rèn)根證書和用戶證書；配置運(yùn)用SSL的TCP/IP連接服務(wù)端；配置運(yùn)用SSL的TCP/IP連接客戶端；連接數(shù)據(jù)庫。留意！以下例子運(yùn)用的數(shù)據(jù)庫版本為ORACLE10g.4，假如是其他版本，會(huì)有所差異。運(yùn)用WalletManager創(chuàng)建Wallet和生成認(rèn)證懇求WalletManager有以下幾點(diǎn)功能：產(chǎn)生公私密鑰對，并生成證書懇求；存儲(chǔ)用戶證書相匹配的私鑰；配置可信任證書具體配置步驟如下：創(chuàng)建Wallet首先啟動(dòng)WalletManager工具：(Windows)選擇起先,程序,Oracle-HOME_NAME,集成管理工具,WalletManager(UNIX)在吩咐行,輸入owm。打開WalletManager工具后，選擇Wallet，新建。在彈出對話框輸入密碼，此密碼是oracle的Wallet密碼，密必是字母和數(shù)字結(jié)合，而且大于8位字符，Wallet選擇標(biāo)準(zhǔn)，點(diǎn)確定。創(chuàng)建認(rèn)證懇求在上面操作點(diǎn)確定以后，提示“是否希望現(xiàn)在創(chuàng)建一個(gè)認(rèn)證懇求？”點(diǎn)是。也可以在選擇操作，添加認(rèn)證懇求，在彈出輸入信息，信息內(nèi)容如下表格：字段名稱描述公用名稱必填項(xiàng)。輸入的用戶的名稱或服務(wù)的身份。輸入用戶的姓名。組織單元可選項(xiàng)。輸入部門的名稱。例如：財(cái)務(wù)。組織可選項(xiàng)。輸入組織的名稱身。例如：某公司地區(qū)/城市可選項(xiàng)。輸入居住城市。省/市/自治區(qū)可選項(xiàng)。輸入姓名的州或省的身份在其中居住。輸入完整的國家的名字，因?yàn)橛行┳C書當(dāng)局不接受兩個(gè)字母的縮寫。國家必填項(xiàng)。選擇國家，以查看清單，國家縮寫。選擇在哪個(gè)國家組織的所在地。中國為CN密鑰長度必填項(xiàng)。選擇密鑰長度，建議選擇1024以上長度。DN可選項(xiàng)。選擇高級，以查看高級證書申請對話。運(yùn)用該字段編輯或自定義身份的辨別名稱（DN）。例如，您可以編輯充分國家名稱和地點(diǎn)。以上表格必填項(xiàng)填好后，點(diǎn)確定生成認(rèn)證表求。接下來的工作是導(dǎo)出證書懇求了。導(dǎo)出證書懇求選擇左邊樹的Wallet下的證書[懇求]，在選擇操作，導(dǎo)出認(rèn)證懇求。輸入要保存文件名[c:\ssl\request.txt]，點(diǎn)保證后導(dǎo)出。 導(dǎo)出認(rèn)證懇求后，接下來就須要運(yùn)用第3節(jié)運(yùn)用openssl工具來制作數(shù)字證書了。保存Wallet位置Wallet創(chuàng)建以后，須要保存Wallet信息，oracle建議保存系統(tǒng)默認(rèn)位置。系統(tǒng)默認(rèn)的Wallet文件存放如下Unix和Windows平臺(tái)：(UNIX)etc/ORACLE/WALLETS/username(Windows)%USERPROFILE%\ORACLE\WALLETS選擇Wallet，系統(tǒng)默認(rèn)位置，或保存，輸入保存路徑，點(diǎn)確認(rèn)。注！ 假如Wallet不存放在默認(rèn)位置，oracle一些程序無法運(yùn)用。讓W(xué)allet自動(dòng)登錄假如不選擇Wallet自動(dòng)登錄，在連接數(shù)據(jù)庫的時(shí)候會(huì)報(bào)ORA-28759:無法打開文件。選擇Wallet,自動(dòng)登錄，把自動(dòng)登錄勾打上。運(yùn)用openssl工具制作數(shù)字證書OpenSSL是一個(gè)開放源代碼的實(shí)現(xiàn)了SSL及相關(guān)加密技術(shù)的軟件包，由加拿大的EricYang等發(fā)起編寫的。OpenSSL的官方網(wǎng)站為:///，源代碼可以從/source/上下載，也可以從OpenSSL的鏡像網(wǎng)站下載。 注！在redhatlinux下，默認(rèn)安裝有安裝好的openssl，而都是原代碼，而且須要懂的C語方的編譯才能編譯勝利，此處從網(wǎng)上收集了forWindowsopenssl已經(jīng)編譯好的二進(jìn)制代碼。我們這里運(yùn)用openssl用來生成根證書和信任的用戶證書。由于網(wǎng)上收集這兩個(gè)包壓開來須要經(jīng)過配置，而我的機(jī)器又裝有MKSToolkitforDevelopersWeb-extractingtool帶有openssl，以下例子運(yùn)用openssl是MKSToolkitforDevelopersWeb-extractingtool工具上帶的，假如是運(yùn)用redhatlinux，也可以在redhatlinux下制作。創(chuàng)建制作證書書目mkdirc:\sslcdsslmkdirca制作發(fā)行證書由于證書須要一個(gè)發(fā)行機(jī)構(gòu)，我們就用openssl制作一個(gè)發(fā)行證書。然后在把這個(gè)發(fā)行證書導(dǎo)入到可信任根證下面，這樣這個(gè)發(fā)行的證書就全部生效了。首先來制作一個(gè)發(fā)行證書的懇求。opensslreq-new-newkeyrsa:1024-nodes-outc:/ssl/ca/ca.csr–keyoutc:/ssl/ca/ca.key輸入發(fā)行機(jī)構(gòu)的信息后，依據(jù)生成的證書請生成證書。opensslx509-signkeyc:/ssl/ca/ca.key-req-inc:/ssl/ca/ca.csr-outc:/ssl/ca/ca.crt-CAcreateserial-days365制作用戶證書以上已經(jīng)制作好發(fā)行的信任證書了，現(xiàn)在就依據(jù)上面發(fā)行的信任證書來制作用戶證書。這里用戶證書的懇求就是第2節(jié)的導(dǎo)出證書懇求的文件，此例中文件名為：c:\ssl\request.txt，輸入如下吩咐：opensslx509-req-inc:\ssl\request.txt-outuser.crt-CAc:/ssl/ca/ca.crt-CAkeyc:/ssl/ca/ca.key-CAcreateserial-days365以上吩咐生成用戶證書名為user.crt，現(xiàn)在把c:/ssl/ca/ca.crt和user.crt文件都發(fā)給申請懇求用戶者。導(dǎo)入信認(rèn)根證書和用戶證書通過第三節(jié)已經(jīng)制作好用戶證書了，但此用戶證書制作機(jī)構(gòu)不是“VeriSignClass3PublicPrimaryCA”等在名頂頂?shù)恼J(rèn)證機(jī)構(gòu)，我們首先須要把制作用戶發(fā)行機(jī)構(gòu)的證書導(dǎo)入到可信根證書，也就是第3節(jié)的c:/ssl/ca/ca.crt文件。導(dǎo)入信認(rèn)根證書打開oracle的WalletManager工具，選擇操作，導(dǎo)入信任證書，選擇包含證書的文件，點(diǎn)確定，選擇c:\ssl\ca\ca.crt文件。在左邊的樹中出現(xiàn)導(dǎo)入信任證書。導(dǎo)入用戶證書在以上導(dǎo)入了信任證書后，就可以導(dǎo)入用戶證書了。選擇操作，導(dǎo)入用戶證書，選擇包含證書的文件，點(diǎn)確定，選擇c:\ssl\user.crt文件。在左邊的樹中出現(xiàn)證書[就緒]。至此，證書的制作和導(dǎo)入都已經(jīng)完成。然后按快捷鍵Ctl+W來保存，同時(shí)檢查Wallter菜單下自動(dòng)登錄旁邊框打上小鉤。接下來就配制服務(wù)端監(jiān)聽ssl的配置了。配置運(yùn)用SSL的TCP/IP連接服務(wù)端在配置服務(wù)器端的ssl的TCP/IP連接須要以下幾步驟：確認(rèn)服務(wù)器已經(jīng)生成Wallter指定監(jiān)聽服務(wù)Wallter存放位置創(chuàng)建監(jiān)聽運(yùn)用ssl的TCP/IP協(xié)議配置好以后，須要重新啟動(dòng)監(jiān)聽服務(wù)，在吩咐行下輸入lsnrctlstoplsnrctlstart確認(rèn)服務(wù)器已經(jīng)生成Wallet確認(rèn)第2節(jié)中的Wallet是否創(chuàng)建，確認(rèn)用戶證書是否就緒，同時(shí)檢查Wallet是否自動(dòng)登錄。指定監(jiān)聽服務(wù)Wallet存放位置首先啟動(dòng)NetManager工具：(Windows)選擇起先,程序,Oracle-HOME_NAME,配置和移植工具,NetManager(UNIX)在吩咐行,輸入netmgr打開NetManager工具后，選擇右邊OracleNet配置，本地，概要文件，在右邊最上面下拉框選擇Oracle高級平安性，單擊SSL標(biāo)簽。配置方法：選擇文件系統(tǒng)。Wallet書目：輸入Wallet存放位置。為以下目標(biāo)配置SSL選擇服務(wù)器。輸入以上信息后，點(diǎn)文件菜單下的保存網(wǎng)絡(luò)配置。在sqlnet.ora和listener.ora文件更新如下：WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=d:\oracle\WALLETS)))創(chuàng)建監(jiān)聽運(yùn)用ssl的TCP/IP協(xié)議在NetManager工具左邊樹中選擇OracleNet配置，本地，監(jiān)聽程序，LISTENER(假如不存在監(jiān)聽程序，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個(gè)監(jiān)聽)，在右邊最上面下拉框選擇監(jiān)聽位置，在下面點(diǎn)添加地址。協(xié)議：運(yùn)用SSL的TCP/IP；主機(jī)：輸入機(jī)器名或要監(jiān)聽的本機(jī)IP地址；端口：輸入監(jiān)聽的端口號，Oracle舉薦運(yùn)用的2484作為SSL的TCP/IP協(xié)議監(jiān)聽端口；點(diǎn)顯示高級，出現(xiàn)高級協(xié)議參數(shù)；發(fā)送緩沖區(qū)大小總計(jì)：32768;接收緩沖區(qū)大小總計(jì)：32768。提示！ 由于windows默認(rèn)緩沖區(qū)大小小于32K，而當(dāng)數(shù)據(jù)庫存有clob和log類型時(shí)候，此值要設(shè)置大于32k，否則會(huì)出現(xiàn)ORA-03114錯(cuò)誤，exp時(shí)候會(huì)出ORA-03113和ORA-24324。輸入以上信息后，點(diǎn)文件菜單下的保存網(wǎng)絡(luò)配置。在listener.ora文件更新如下：LISTENER=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)(SEND_BUF_SIZE=32768)(RECV_BUF_SIZE=32768)))在sqlnet.ora文件更新如下：SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS,NTS)留意，TCPS必需存在，假如這行不存在或這行值沒有TCPS，可以手工加sqlnet.ora這個(gè)文件內(nèi)容。配制數(shù)據(jù)庫監(jiān)聽位置由于我們配制監(jiān)聽的時(shí)候運(yùn)用了2484這個(gè)端口，而這個(gè)端口不是oracle默認(rèn)動(dòng)態(tài)PMON進(jìn)程向監(jiān)聽注冊端口，所以我們須要配置靜態(tài)監(jiān)聽數(shù)據(jù)庫服務(wù)。在NetManager工具左邊樹中選擇OracleNet配置，本地，監(jiān)聽程序，LISTENER(假如不存在監(jiān)聽程序，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個(gè)監(jiān)聽)，在右邊最上面下拉框選擇數(shù)據(jù)庫服務(wù)。假如要監(jiān)聽的數(shù)據(jù)服務(wù)已經(jīng)配置，接下來就不須要配置了。點(diǎn)下面按鈕的添加數(shù)據(jù)庫。全局?jǐn)?shù)據(jù)庫名：輸入創(chuàng)建數(shù)據(jù)時(shí)候的全局名。Oracle主書目：輸入Oracle的Home書目，如：D:\oracle\product\\db_1SID：輸入數(shù)據(jù)庫實(shí)例的sid。輸入以上信息后，點(diǎn)文件菜單下的保存網(wǎng)絡(luò)配置。在listener.ora文件更新如下：SID_LIST_LISTENER=(SID_LIST=(SID_DESC=(GLOBAL_DBNAME=ora10g.unimassystem)(ORACLE_HOME=D:\oracle\product\\db_1)(SID_NAME=ora10g)))至此，服務(wù)端的SSL的TCP/IP協(xié)議已經(jīng)配置完，假如監(jiān)聽已經(jīng)啟動(dòng)，可以重啟監(jiān)聽了，在吩咐行下輸入：lsnrctlstoplsnrctlstart假如沒有報(bào)錯(cuò)，證明配制正確。以下是重啟監(jiān)聽信息：C:\>lsnrctlstopLSNRCTLfor32-bitWindows:Version.4.0-Productionon28-7月-200915:37:43Copyright(c)1991,2007,Oracle.Allrightsreserved.正在連接到(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)))吩咐執(zhí)行勝利C:\>lsnrctlstartLSNRCTLfor32-bitWindows:Version.4.0-Productionon28-7月-200915:37:46Copyright(c)1991,2007,Oracle.Allrightsreserved.啟動(dòng)tnslsnr:請稍候...TNSLSNRfor32-bitWindows:Version.4.0-Production系統(tǒng)參數(shù)文件為D:\oracle\product\\db_1\network\admin\listener.ora寫入D:\oracle\product\\db_1\network\log\listener.log的日志信息監(jiān)聽:(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=zhoujunhe.unimassystem)(PORT=2484)))正在連接到(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)))LISTENER的STATUS別名LISTENER版本TNSLSNRfor32-bitWindows:Version.4.0-Production啟動(dòng)日期28-7月-200915:37:48正常運(yùn)行時(shí)間0天0小時(shí)0分2秒跟蹤級別off平安性O(shè)N:LocalOSAuthenticationSNMPOFF監(jiān)聽程序參數(shù)文件D:\oracle\product\\db_1\network\admin\listener.ora監(jiān)聽程序日志文件D:\oracle\product\\db_1\network\log\listener.log監(jiān)聽端點(diǎn)概要...(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=zhoujunhe.unimassystem)(PORT=2484)))服務(wù)摘要..服務(wù)"ora10g.unimassystem"包含1個(gè)例程。例程"ora10g",狀態(tài)UNKNOWN,包含此服務(wù)的1個(gè)處理程序...吩咐執(zhí)行勝利假如啟動(dòng)過程有錯(cuò)誤，證明配置有錯(cuò)誤，查看后面疑難解答。配置運(yùn)用SSL的TCP/IP連接客戶端在上面一節(jié)講的是服務(wù)器端的配置，假如運(yùn)用是本機(jī)連接，這節(jié)只須要配置第2小節(jié)就可以跳轉(zhuǎn)到第7節(jié)連接數(shù)據(jù)庫確認(rèn)客戶端已經(jīng)生成Wallet假如客戶機(jī)和服務(wù)端不在同一臺(tái)機(jī)器，在一步前必需確認(rèn)Wallet是否創(chuàng)建，而且確認(rèn)自動(dòng)登錄，假如沒有創(chuàng)建好，請返回前面三節(jié)來創(chuàng)建Wallet，并生成證書。注！假如是本機(jī)連接，由于配置服務(wù)端的時(shí)候，Wallet和ssl都已經(jīng)配置好了，只須要配置下面節(jié)的Oracle網(wǎng)絡(luò)配置就可以連接數(shù)據(jù)庫了。配置的Oracle網(wǎng)絡(luò)服務(wù)名稱在NetManager工具左邊樹中選擇OracleNet配置，本地，服務(wù)命名，選擇要配制服務(wù)名(假如須要重新創(chuàng)建一個(gè)服務(wù)名，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個(gè)服務(wù)名)。服務(wù)名：輸入和配置數(shù)據(jù)庫監(jiān)聽相同服務(wù)名；連接類型：選擇數(shù)據(jù)庫默認(rèn)設(shè)置。在地址配置先項(xiàng)協(xié)議：選擇運(yùn)用SSL的TCP/IP；主機(jī)名：輸入服務(wù)器的機(jī)器名或IP地址；端口號：輸入服務(wù)配置運(yùn)用SSL的TCP/IP協(xié)議端口號（oracle舉薦運(yùn)用2484）,此處端口號和服務(wù)端端口一樣。點(diǎn)顯示高級，出現(xiàn)高級協(xié)議參數(shù)；發(fā)送緩沖區(qū)大小總計(jì)：32768;接收緩沖區(qū)大小總計(jì)：32768。提示！ 由于windows默認(rèn)緩沖區(qū)大小小于32K，而當(dāng)數(shù)據(jù)庫存有clob和log類型時(shí)候，此值要設(shè)置大于32k，否則會(huì)出現(xiàn)ORA-03114錯(cuò)誤，exp時(shí)候會(huì)出ORA-03113和ORA-24324。輸入以上信息后，點(diǎn)文件菜單下的保存網(wǎng)絡(luò)配置。在配置好以上信息后，須手動(dòng)修改客戶端的網(wǎng)絡(luò)配置文件tnsnames.ora和sqlnet.ora。在不同系統(tǒng)位于不同位置(UNIX)$ORACLE_HOME/network/admin/(Windows)%ORACLE_BASE%\%ORACLE_HOME%\network\admin\在添加如下粗體信息SSL=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)(SEND_BUF_SIZE=32768)(RECV_BUF_SIZE=32768)))(CONNECT_DATA=(SERVICE_NAME=ora10g.unimassystem))(SECURITY= (SSL_SERVER_CERT_DN="cn=finance,cn=OracleContext,c=us,o=acme") ))留意！雙引號里的內(nèi)容必必是服務(wù)端用戶證書的DN(主題名)，此DN可以用WalletMangaget打開服務(wù)端的Wallet來查看用戶證書的DN（主題名）。在sqlnet.ora文件更新如下：SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS,NTS)留意，TCPS必需存在，假如這行不存在或這行值沒有TCPS，可以手工加sqlnet.ora這個(gè)文件內(nèi)容?？蛻舳伺渲肳allet位置打開NetManager工具，選擇右邊OracleNet配置，本地，概要文件，在右邊最上面下拉框選擇Oracle高級平安性，單擊SSL標(biāo)簽。配置方法：選擇文件系統(tǒng)。Wallet書目：輸入客戶端Wallet存放位置。為以下目標(biāo)配置SSL選擇客戶機(jī)。輸入以上信息后，點(diǎn)文件菜單下的保存網(wǎng)絡(luò)配置。在sqlnet.ora文件更新如下：WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=d:\oracle\WALLETS)))這樣，以上一個(gè)簡潔的ssl協(xié)議連接已經(jīng)配置好，接下來測試連接數(shù)據(jù)了。連接數(shù)據(jù)庫sqlplususer/password@ssl連接信息如下：C:\>sqlplustest/test@sslSQL*Plus:Release.4.0-Productionon星期五7月3111:41:492009Copyright(c)1982,2007,Oracle.AllRightsReserved.連接到:OracleDatabase10gEnterpriseEditionRelease.4.0-ProductionWiththePartitioning,OracleLabelSecurity,OLAP,DataMiningandRealApplicationTestingoptionsSQL>假如連接報(bào)有錯(cuò)誤，查看后面疑難解答。疑難解答ThefollowingsectionliststhemostcommonerrorsyoumayreceivewhileusingtheOracleAdvancedSecuritySSLadapter.ItmaybenecessarytoenableOracleNettracingtodeterminethecauseofanerror.ForinformationaboutsettingtracingparameterstoenableOracleNettracing,refertoOracleDatabaseNetServicesAdministrator'sGuide.ORA-28759:FailuretoOpenFileCause:Thesystemcouldnotopenthespecifiedfile.Typically,thiserroroccursbecausethewalletcannotbefound.Action:Checkthefollowing:Ensurethatthecorrectwalletlocationisspecifiedinthesqlnet.orafile.Thisshouldbethesamedirectorylocationwhereyousavedthewallet.EnableOracleNettracingtodeterminethenameofthefilethatcannotbeopenedandthereason.Ensurethatautologinwasenabledwhenyousavedthewallet.Referto"UsingAutoLogin"ORA-28786:DecryptionofEncryptedPrivateKeyFailureCause:Anincorrectpasswordwasusedtodecryptanencryptedprivatekey.Frequently,thishappensbecauseanautologinwalletisnotbeingused.Action:UseOracleWalletManagertoturntheautologinfeatureonforthewallet.Thensavethewalletagain.Referto,"UsingAutoLogin".ORA-28858:SSLProtocolErrorCause:ThisisagenericerrorthatcanoccurduringSSLhandshakenegotiationbetweentwoprocesses.Action:EnableOracleNettracingandattempttheconnectionagaintoproducetraceoutput.ThencontactOraclecustomersupportwiththetraceoutput.ORA-28859SSLNegotiationFailureCause:AnerroroccurredduringthenegotiationbetweentwoprocessesaspartoftheSSLprotocol.Thiserrorcanoccurwhentwosidesoftheconnectiondonotsupportacommonciphersuite.Action:Checkthefollowing:UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatch,orarecompatible.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.UseOracleNetManagertocheckwhatciphersuitesareconfiguredontheclientandtheserver,andensurethatcompatibleciphersuitesaresetonboth.SeeAlso:"Step4:SettheClientSSLCipherSuites(Optional)"fordetailsaboutsettingcompatibleciphersuitesontheclientandtheserverNote:Ifyoudonotconfigureanyciphersuites,thenallavailableciphersuitesareenabled.ORA-28862:SSLConnectionFailedCause:Thiserroroccurredbecausethepeerclosedtheconnection.Action:Checkthefollowing:Ensurethatthecorrectwalletlocationisspecifiedinthesqlnet.orafilesothesystemcanfindthewallet.UseOracleNetManagertoensurethatciphersuitesaresetcorrectlyinthesqlnet.orafile.Sometimesthiserroroccursbecausethesqlnet.orahasbeenmanuallyeditedandtheciphersuitenamesaremisspelled.Ensurethatcasesensitivestringmatchingisusedwithciphersuitenames.UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatchorarecompatible.SometimesthiserroroccursbecausetheSSLversionspecifiedontheserverandclientdonotmatch.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.Formorediagnosticinformation,enableOracleNettracingonthepeer.ORA-28865:SSLConnectionClosedCause:TheSSLconnectionclosedbecauseofanerrorintheunderlyingtransportlayer,orbecausethepeerprocessquitunexpectedly.Action:Checkthefollowing:UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatch,orarecompatible.SometimesthiserroroccursbecausetheSSLversionspecifiedontheserverandclientdonotmatch.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.IfyouareusingaDiffie-HellmananonymousciphersuiteandtheSSL_CLIENT_AUTHENTICATIONparameterissettotrueintheserver'slistener.orafile,thentheclientdoesnotpassitscertificatetotheserver.Whentheserverdoesnotreceivetheclient'scertificate,it(theserver)cannotauthenticatetheclientsotheconnectionisclosed.Toresolvethisuseanotherciphersuite,orsetthislistener.oraparametertofalse.EnableOracleNettracingandcheckthetraceoutputfornetworkerrors.Fordetails,refertoActionslistedfor"ORA-28862:SSLConnectionFailed"ORA-28868:PeerCertificateChainCheckFailedCause:Whenthepeerpresentedthecertificatechain,itwascheckedandthatcheckfailed.Thisfailurecanbecausedbyanumberofproblems,including:Oneofthecertificatesinthechainhasexpired.Acertificateauthorityforoneofthecertificatesinthechainisnotrecognizedasatrustpoint.Thesignatureinoneofthecertificatescannotbeverified.Action:Referto,"OpeninganExistingWallet"touseOracleWalletManagertoopenyourwalletandcheckthefollowing:Ensurethatallofthecertificatesinstalledinyourwalletarecurrent(notexpired).Ensurethatacertificateauthority'scertificatefromyourpeer'scertificatechainisaddedasatrustedcertificateinyourwallet.Referto,"ImportingaTrustedCertificate"touseOracleWalletManagertoimportatrustedcertificate.ORA-28885:Nocertificatewiththerequiredkeyusagefound.Cause:YourcertificatewasnotcreatedwiththeappropriateX.509version3keyusageextension.Action:UseOracleWalletManagertocheckthecertificate'skeyusage.Referto,Table9-1,"KeyUsageValues".ORA-29024:CertificateValidationFailureCause:Thecertificatesentbytheothersidecouldnotbevalidated.Thismayoccurifthecertificatehasexpired,hasbeenrevoked,orisinvalidforanyotherreason.Action:Checkthefollowing:Checkthecertificatetodeterminewhetheritisvalid.Ifnecessary,getanewcertificate,informthesenderthathercertificatehasfailed,orresend.Checktoensurethattheserver'swallethastheappropriatetrustpointstovalidatetheclient