Oracle Non-CDB配置 TDE(透明数据加密) 的过程

dingdingfish2023-09-08 22:15

说明

此文档虽然是针对non CDB而写,但是对于CDB的操作过程也是类似的,即在CDB$ROOT中设置完成wallet设置后,在PDB中设置和打开MEK即可。

先决条件

请确保目录$ORACLE_SID/admin/$ORACLE_SID存在,例如此目录为:

  • /u01/app/oracle/admin/noncdb

配置Wallet和秘钥

配置TDE过程:

sql 复制代码 
connect / as sysdba
-- WALLET_ROOT的默认值为空

-- wallet目录不必预先建立
ALTER SYSTEM SET WALLET_ROOT = '/u01/app/oracle/admin/noncdb/wallet' SCOPE = SPFILE SID = '*';

-- 重启数据库
shutdown immediate
startup

-- TDE_CONFIGURATION的默认值为空
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE = BOTH SID = '*';

-- create key store
-- 这一步自动创建了目录$WALLET_ROOT/wallet/tde,并创建了文件ewallet.p12
-- keypwd是保护wallet的口令,可以选取您中意的口令
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY keypwd;

-- 目前,wallet的状态为CLOSE。我们需要打开他
-- SELECT STATUS FROM V$ENCRYPTION_WALLET; 
-- 打开后,wallet的状态为OPEN_NO_MASTER_KEY,其它PDB的状态仍为CLOSE
ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY keypwd;

-- 创建MEK
-- 创建后,wallet状态变为OPEN
-- SELECT STATUS FROM V$ENCRYPTION_WALLET; 
ADMINISTER KEY MANAGEMENT SET KEY 
FORCE KEYSTORE
IDENTIFIED BY keypwd 
WITH BACKUP USING 'emp_key_backup';

加密表空间

下面开始加密数据库的users表空间:

sql 复制代码 
-- 离线表空间,Elapsed: 00:00:02.67
ALTER TABLESPACE users OFFLINE NORMAL;

-- 一定一定记得开启此选项,我们要计时的!!!
set timing on

-- 离线加密,一定记得记录输出的时间!!!
ALTER TABLESPACE users ENCRYPTION OFFLINE ENCRYPT;
Elapsed: 00:16:53.44

-- 如果此时再次加密,则报错,因为已经加密过了
ORA-28431: cannot encrypt an already encrypted data file USERS

-- 恢复表空间在线
ALTER TABLESPACE users ONLINE;

-- 至此,加密结束
-- 验证
SQL> select TS#, ENCRYPTIONALG, ENCRYPTEDTS, STATUS, CON_ID from V$ENCRYPTED_TABLESPACES;

       TS# ENCRYPT ENC STATUS         CON_ID
---------- ------- --- ---------- ----------
         5 AES128  YES NORMAL              4

SQL> show con_id

CON_ID
------------------------------
4

-- ts# 等于前面输出中的ts#
SQL> select name from v$tablespace where ts# = 5;

NAME
------------------------------
USERS

加密过程中的监控:

sql 复制代码 
SQL> connect sys@jiamipdb as sysdba

SQL> SELECT t.name, e.encryptedts, e.status FROM v$tablespace t, v$encrypted_tablespaces e WHERE t.ts#=e.ts# ;

NAME                           ENC STATUS
------------------------------ --- ----------
USERS                          NO  ENCRYPTING

select tablespace_name,name,encrypted from v$datafile_header where tablespace_name like '%USERS%';
select count(*) from v$datafile_header where tablespace_name like '%USERS%' and encrypted='NO';
相关推荐
陈丹阳(滁州学院)1 小时前
若依添加添加监听容器配置(删除键,键过期)
数据库·oracle
远方16092 小时前
14-Oracle 23ai Vector Search 向量索引和混合索引-实操
数据库·ai·oracle
GUIQU.3 小时前
【Oracle】数据仓库
数据库·oracle
小袁搬码9 小时前
PL/SQLDeveloper中数值类型字段查询后显示为科学计数法的处理方式
oracle·oracle数据库·pl.sqldeveloper
文牧之11 小时前
Oracle 审计参数:AUDIT_TRAIL 和 AUDIT_SYS_OPERATIONS
运维·数据库·oracle
betazhou14 小时前
有没有 MariaDB 5.5.56 对应 MySQL CONNECTION_CONTROL 插件
linux·数据库·mysql·oracle·mariadb
王小小鸭16 小时前
【Oracle APEX开发小技巧12】
数据库·oracle
远方160916 小时前
16-Oracle 23 ai-JSON-Relational Duality-知识准备
数据库·oracle·json
Wooden-Flute16 小时前
七、数据库的完整性
数据库·oracle
珹洺17 小时前
数据库系统概论(十七)超详细讲解数据库规范化与五大范式(从函数依赖到多值依赖,再到五大范式,附带例题,表格,知识图谱对比带你一步步掌握)
java·数据库·sql·安全·oracle
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10坚果投影仪J10如何用苹果Siri开关机并和米家联动