安全連接-配置使用安全套接層連接oracle

配置平安套接層連接oracle書目1. 配置簡介 22. 運用WalletManager創(chuàng)建Wallet和生成認證懇求 22.1. 創(chuàng)建Wallet 22.2. 創(chuàng)建認證懇求 32.3. 導出證書懇求 32.4. 保存Wallet位置 32.5. 讓Wallet自動登錄 43. 運用openssl工具制作數(shù)字證書 43.1. 創(chuàng)建制作證書書目 43.2. 制作發(fā)行證書 43.3. 制作用戶證書 54. 導入信認根證書和用戶證書 54.1. 導入信認根證書 54.2. 導入用戶證書 55. 配置運用SSL的TCP/IP連接服務端 55.1. 確認服務器已經(jīng)生成Wallet 65.2. 指定監(jiān)聽服務Wallet存放位置 65.3. 創(chuàng)建監(jiān)聽運用ssl的TCP/IP協(xié)議 75.4. 配制數(shù)據(jù)庫監(jiān)聽位置 86. 配置運用SSL的TCP/IP連接客戶端 106.1. 確認客戶端已經(jīng)生成Wallet 116.2. 配置的Oracle網(wǎng)絡服務名稱 116.3. 客戶端配置Wallet位置 137. 連接數(shù)據(jù)庫 148. 疑難解答 149. Wallet管理方案 1810. 參考文獻 18

配置簡介這里采納平安套接層連接oracle指的是運用ssl的tcp/ip協(xié)議連接oracle數(shù)據(jù)庫，由于ssl的tcps/ip協(xié)議是采納公鑰和私鑰進行數(shù)據(jù)加密，為了解決通信雙方的可信問題，運用了數(shù)字證書，而orcle是采納“WalletManager”來管理證書和公鑰和私鑰。配置ssl的tcp/ip協(xié)議連接oracle數(shù)據(jù)庫，大體步驟分為以下6步：運用WalletManager創(chuàng)建Wallet和生成認證懇求；運用openssl工具制作數(shù)字證書；導入信認根證書和用戶證書；配置運用SSL的TCP/IP連接服務端；配置運用SSL的TCP/IP連接客戶端；連接數(shù)據(jù)庫。留意！以下例子運用的數(shù)據(jù)庫版本為ORACLE10g.4，假如是其他版本，會有所差異。運用WalletManager創(chuàng)建Wallet和生成認證懇求WalletManager有以下幾點功能：產(chǎn)生公私密鑰對，并生成證書懇求；存儲用戶證書相匹配的私鑰；配置可信任證書具體配置步驟如下：創(chuàng)建Wallet首先啟動WalletManager工具：(Windows)選擇起先,程序,Oracle-HOME_NAME,集成管理工具,WalletManager(UNIX)在吩咐行,輸入owm。打開WalletManager工具后，選擇Wallet，新建。在彈出對話框輸入密碼，此密碼是oracle的Wallet密碼，密必是字母和數(shù)字結合，而且大于8位字符，Wallet選擇標準，點確定。創(chuàng)建認證懇求在上面操作點確定以后，提示“是否希望現(xiàn)在創(chuàng)建一個認證懇求？”點是。也可以在選擇操作，添加認證懇求，在彈出輸入信息，信息內(nèi)容如下表格：字段名稱描述公用名稱必填項。輸入的用戶的名稱或服務的身份。輸入用戶的姓名。組織單元可選項。輸入部門的名稱。例如：財務。組織可選項。輸入組織的名稱身。例如：某公司地區(qū)/城市可選項。輸入居住城市。省/市/自治區(qū)可選項。輸入姓名的州或省的身份在其中居住。輸入完整的國家的名字，因為有些證書當局不接受兩個字母的縮寫。國家必填項。選擇國家，以查看清單，國家縮寫。選擇在哪個國家組織的所在地。中國為CN密鑰長度必填項。選擇密鑰長度，建議選擇1024以上長度。DN可選項。選擇高級，以查看高級證書申請對話。運用該字段編輯或自定義身份的辨別名稱（DN）。例如，您可以編輯充分國家名稱和地點。以上表格必填項填好后，點確定生成認證表求。接下來的工作是導出證書懇求了。導出證書懇求選擇左邊樹的Wallet下的證書[懇求]，在選擇操作，導出認證懇求。輸入要保存文件名[c:\ssl\request.txt]，點保證后導出。 導出認證懇求后，接下來就須要運用第3節(jié)運用openssl工具來制作數(shù)字證書了。保存Wallet位置Wallet創(chuàng)建以后，須要保存Wallet信息，oracle建議保存系統(tǒng)默認位置。系統(tǒng)默認的Wallet文件存放如下Unix和Windows平臺：(UNIX)etc/ORACLE/WALLETS/username(Windows)%USERPROFILE%\ORACLE\WALLETS選擇Wallet，系統(tǒng)默認位置，或保存，輸入保存路徑，點確認。注！ 假如Wallet不存放在默認位置，oracle一些程序無法運用。讓Wallet自動登錄假如不選擇Wallet自動登錄，在連接數(shù)據(jù)庫的時候會報ORA-28759:無法打開文件。選擇Wallet,自動登錄，把自動登錄勾打上。運用openssl工具制作數(shù)字證書OpenSSL是一個開放源代碼的實現(xiàn)了SSL及相關加密技術的軟件包，由加拿大的EricYang等發(fā)起編寫的。OpenSSL的官方網(wǎng)站為:///，源代碼可以從/source/上下載，也可以從OpenSSL的鏡像網(wǎng)站下載。 注！在redhatlinux下，默認安裝有安裝好的openssl，而都是原代碼，而且須要懂的C語方的編譯才能編譯勝利，此處從網(wǎng)上收集了forWindowsopenssl已經(jīng)編譯好的二進制代碼。我們這里運用openssl用來生成根證書和信任的用戶證書。由于網(wǎng)上收集這兩個包壓開來須要經(jīng)過配置，而我的機器又裝有MKSToolkitforDevelopersWeb-extractingtool帶有openssl，以下例子運用openssl是MKSToolkitforDevelopersWeb-extractingtool工具上帶的，假如是運用redhatlinux，也可以在redhatlinux下制作。創(chuàng)建制作證書書目mkdirc:\sslcdsslmkdirca制作發(fā)行證書由于證書須要一個發(fā)行機構，我們就用openssl制作一個發(fā)行證書。然后在把這個發(fā)行證書導入到可信任根證下面，這樣這個發(fā)行的證書就全部生效了。首先來制作一個發(fā)行證書的懇求。opensslreq-new-newkeyrsa:1024-nodes-outc:/ssl/ca/ca.csr–keyoutc:/ssl/ca/ca.key輸入發(fā)行機構的信息后，依據(jù)生成的證書請生成證書。opensslx509-signkeyc:/ssl/ca/ca.key-req-inc:/ssl/ca/ca.csr-outc:/ssl/ca/ca.crt-CAcreateserial-days365制作用戶證書以上已經(jīng)制作好發(fā)行的信任證書了，現(xiàn)在就依據(jù)上面發(fā)行的信任證書來制作用戶證書。這里用戶證書的懇求就是第2節(jié)的導出證書懇求的文件，此例中文件名為：c:\ssl\request.txt，輸入如下吩咐：opensslx509-req-inc:\ssl\request.txt-outuser.crt-CAc:/ssl/ca/ca.crt-CAkeyc:/ssl/ca/ca.key-CAcreateserial-days365以上吩咐生成用戶證書名為user.crt，現(xiàn)在把c:/ssl/ca/ca.crt和user.crt文件都發(fā)給申請懇求用戶者。導入信認根證書和用戶證書通過第三節(jié)已經(jīng)制作好用戶證書了，但此用戶證書制作機構不是“VeriSignClass3PublicPrimaryCA”等在名頂頂?shù)恼J證機構，我們首先須要把制作用戶發(fā)行機構的證書導入到可信根證書，也就是第3節(jié)的c:/ssl/ca/ca.crt文件。導入信認根證書打開oracle的WalletManager工具，選擇操作，導入信任證書，選擇包含證書的文件，點確定，選擇c:\ssl\ca\ca.crt文件。在左邊的樹中出現(xiàn)導入信任證書。導入用戶證書在以上導入了信任證書后，就可以導入用戶證書了。選擇操作，導入用戶證書，選擇包含證書的文件，點確定，選擇c:\ssl\user.crt文件。在左邊的樹中出現(xiàn)證書[就緒]。至此，證書的制作和導入都已經(jīng)完成。然后按快捷鍵Ctl+W來保存，同時檢查Wallter菜單下自動登錄旁邊框打上小鉤。接下來就配制服務端監(jiān)聽ssl的配置了。配置運用SSL的TCP/IP連接服務端在配置服務器端的ssl的TCP/IP連接須要以下幾步驟：確認服務器已經(jīng)生成Wallter指定監(jiān)聽服務Wallter存放位置創(chuàng)建監(jiān)聽運用ssl的TCP/IP協(xié)議配置好以后，須要重新啟動監(jiān)聽服務，在吩咐行下輸入lsnrctlstoplsnrctlstart確認服務器已經(jīng)生成Wallet確認第2節(jié)中的Wallet是否創(chuàng)建，確認用戶證書是否就緒，同時檢查Wallet是否自動登錄。指定監(jiān)聽服務Wallet存放位置首先啟動NetManager工具：(Windows)選擇起先,程序,Oracle-HOME_NAME,配置和移植工具,NetManager(UNIX)在吩咐行,輸入netmgr打開NetManager工具后，選擇右邊OracleNet配置，本地，概要文件，在右邊最上面下拉框選擇Oracle高級平安性，單擊SSL標簽。配置方法：選擇文件系統(tǒng)。Wallet書目：輸入Wallet存放位置。為以下目標配置SSL選擇服務器。輸入以上信息后，點文件菜單下的保存網(wǎng)絡配置。在sqlnet.ora和listener.ora文件更新如下：WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=d:\oracle\WALLETS)))創(chuàng)建監(jiān)聽運用ssl的TCP/IP協(xié)議在NetManager工具左邊樹中選擇OracleNet配置，本地，監(jiān)聽程序，LISTENER(假如不存在監(jiān)聽程序，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個監(jiān)聽)，在右邊最上面下拉框選擇監(jiān)聽位置，在下面點添加地址。協(xié)議：運用SSL的TCP/IP；主機：輸入機器名或要監(jiān)聽的本機IP地址；端口：輸入監(jiān)聽的端口號，Oracle舉薦運用的2484作為SSL的TCP/IP協(xié)議監(jiān)聽端口；點顯示高級，出現(xiàn)高級協(xié)議參數(shù)；發(fā)送緩沖區(qū)大小總計：32768;接收緩沖區(qū)大小總計：32768。提示！ 由于windows默認緩沖區(qū)大小小于32K，而當數(shù)據(jù)庫存有clob和log類型時候，此值要設置大于32k，否則會出現(xiàn)ORA-03114錯誤，exp時候會出ORA-03113和ORA-24324。輸入以上信息后，點文件菜單下的保存網(wǎng)絡配置。在listener.ora文件更新如下：LISTENER=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)(SEND_BUF_SIZE=32768)(RECV_BUF_SIZE=32768)))在sqlnet.ora文件更新如下：SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS,NTS)留意，TCPS必需存在，假如這行不存在或這行值沒有TCPS，可以手工加sqlnet.ora這個文件內(nèi)容。配制數(shù)據(jù)庫監(jiān)聽位置由于我們配制監(jiān)聽的時候運用了2484這個端口，而這個端口不是oracle默認動態(tài)PMON進程向監(jiān)聽注冊端口，所以我們須要配置靜態(tài)監(jiān)聽數(shù)據(jù)庫服務。在NetManager工具左邊樹中選擇OracleNet配置，本地，監(jiān)聽程序，LISTENER(假如不存在監(jiān)聽程序，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個監(jiān)聽)，在右邊最上面下拉框選擇數(shù)據(jù)庫服務。假如要監(jiān)聽的數(shù)據(jù)服務已經(jīng)配置，接下來就不須要配置了。點下面按鈕的添加數(shù)據(jù)庫。全局數(shù)據(jù)庫名：輸入創(chuàng)建數(shù)據(jù)時候的全局名。Oracle主書目：輸入Oracle的Home書目，如：D:\oracle\product\\db_1SID：輸入數(shù)據(jù)庫實例的sid。輸入以上信息后，點文件菜單下的保存網(wǎng)絡配置。在listener.ora文件更新如下：SID_LIST_LISTENER=(SID_LIST=(SID_DESC=(GLOBAL_DBNAME=ora10g.unimassystem)(ORACLE_HOME=D:\oracle\product\\db_1)(SID_NAME=ora10g)))至此，服務端的SSL的TCP/IP協(xié)議已經(jīng)配置完，假如監(jiān)聽已經(jīng)啟動，可以重啟監(jiān)聽了，在吩咐行下輸入：lsnrctlstoplsnrctlstart假如沒有報錯，證明配制正確。以下是重啟監(jiān)聽信息：C:\>lsnrctlstopLSNRCTLfor32-bitWindows:Version.4.0-Productionon28-7月-200915:37:43Copyright(c)1991,2007,Oracle.Allrightsreserved.正在連接到(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)))吩咐執(zhí)行勝利C:\>lsnrctlstartLSNRCTLfor32-bitWindows:Version.4.0-Productionon28-7月-200915:37:46Copyright(c)1991,2007,Oracle.Allrightsreserved.啟動tnslsnr:請稍候...TNSLSNRfor32-bitWindows:Version.4.0-Production系統(tǒng)參數(shù)文件為D:\oracle\product\\db_1\network\admin\listener.ora寫入D:\oracle\product\\db_1\network\log\listener.log的日志信息監(jiān)聽:(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=zhoujunhe.unimassystem)(PORT=2484)))正在連接到(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)))LISTENER的STATUS別名LISTENER版本TNSLSNRfor32-bitWindows:Version.4.0-Production啟動日期28-7月-200915:37:48正常運行時間0天0小時0分2秒跟蹤級別off平安性ON:LocalOSAuthenticationSNMPOFF監(jiān)聽程序參數(shù)文件D:\oracle\product\\db_1\network\admin\listener.ora監(jiān)聽程序日志文件D:\oracle\product\\db_1\network\log\listener.log監(jiān)聽端點概要...(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=zhoujunhe.unimassystem)(PORT=2484)))服務摘要..服務"ora10g.unimassystem"包含1個例程。例程"ora10g",狀態(tài)UNKNOWN,包含此服務的1個處理程序...吩咐執(zhí)行勝利假如啟動過程有錯誤，證明配置有錯誤，查看后面疑難解答。配置運用SSL的TCP/IP連接客戶端在上面一節(jié)講的是服務器端的配置，假如運用是本機連接，這節(jié)只須要配置第2小節(jié)就可以跳轉到第7節(jié)連接數(shù)據(jù)庫確認客戶端已經(jīng)生成Wallet假如客戶機和服務端不在同一臺機器，在一步前必需確認Wallet是否創(chuàng)建，而且確認自動登錄，假如沒有創(chuàng)建好，請返回前面三節(jié)來創(chuàng)建Wallet，并生成證書。注！假如是本機連接，由于配置服務端的時候，Wallet和ssl都已經(jīng)配置好了，只須要配置下面節(jié)的Oracle網(wǎng)絡配置就可以連接數(shù)據(jù)庫了。配置的Oracle網(wǎng)絡服務名稱在NetManager工具左邊樹中選擇OracleNet配置，本地，服務命名，選擇要配制服務名(假如須要重新創(chuàng)建一個服務名，程序編輯菜單下的創(chuàng)建來創(chuàng)建一個服務名)。服務名：輸入和配置數(shù)據(jù)庫監(jiān)聽相同服務名；連接類型：選擇數(shù)據(jù)庫默認設置。在地址配置先項協(xié)議：選擇運用SSL的TCP/IP；主機名：輸入服務器的機器名或IP地址；端口號：輸入服務配置運用SSL的TCP/IP協(xié)議端口號（oracle舉薦運用2484）,此處端口號和服務端端口一樣。點顯示高級，出現(xiàn)高級協(xié)議參數(shù)；發(fā)送緩沖區(qū)大小總計：32768;接收緩沖區(qū)大小總計：32768。提示！ 由于windows默認緩沖區(qū)大小小于32K，而當數(shù)據(jù)庫存有clob和log類型時候，此值要設置大于32k，否則會出現(xiàn)ORA-03114錯誤，exp時候會出ORA-03113和ORA-24324。輸入以上信息后，點文件菜單下的保存網(wǎng)絡配置。在配置好以上信息后，須手動修改客戶端的網(wǎng)絡配置文件tnsnames.ora和sqlnet.ora。在不同系統(tǒng)位于不同位置(UNIX)$ORACLE_HOME/network/admin/(Windows)%ORACLE_BASE%\%ORACLE_HOME%\network\admin\在添加如下粗體信息SSL=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=zhoujunhe)(PORT=2484)(SEND_BUF_SIZE=32768)(RECV_BUF_SIZE=32768)))(CONNECT_DATA=(SERVICE_NAME=ora10g.unimassystem))(SECURITY= (SSL_SERVER_CERT_DN="cn=finance,cn=OracleContext,c=us,o=acme") ))留意！雙引號里的內(nèi)容必必是服務端用戶證書的DN(主題名)，此DN可以用WalletMangaget打開服務端的Wallet來查看用戶證書的DN（主題名）。在sqlnet.ora文件更新如下：SQLNET.AUTHENTICATION_SERVICES=(BEQ,TCPS,NTS)留意，TCPS必需存在，假如這行不存在或這行值沒有TCPS，可以手工加sqlnet.ora這個文件內(nèi)容?？蛻舳伺渲肳allet位置打開NetManager工具，選擇右邊OracleNet配置，本地，概要文件，在右邊最上面下拉框選擇Oracle高級平安性，單擊SSL標簽。配置方法：選擇文件系統(tǒng)。Wallet書目：輸入客戶端Wallet存放位置。為以下目標配置SSL選擇客戶機。輸入以上信息后，點文件菜單下的保存網(wǎng)絡配置。在sqlnet.ora文件更新如下：WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=d:\oracle\WALLETS)))這樣，以上一個簡潔的ssl協(xié)議連接已經(jīng)配置好，接下來測試連接數(shù)據(jù)了。連接數(shù)據(jù)庫sqlplususer/password@ssl連接信息如下：C:\>sqlplustest/test@sslSQL*Plus:Release.4.0-Productionon星期五7月3111:41:492009Copyright(c)1982,2007,Oracle.AllRightsReserved.連接到:OracleDatabase10gEnterpriseEditionRelease.4.0-ProductionWiththePartitioning,OracleLabelSecurity,OLAP,DataMiningandRealApplicationTestingoptionsSQL>假如連接報有錯誤，查看后面疑難解答。疑難解答ThefollowingsectionliststhemostcommonerrorsyoumayreceivewhileusingtheOracleAdvancedSecuritySSLadapter.ItmaybenecessarytoenableOracleNettracingtodeterminethecauseofanerror.ForinformationaboutsettingtracingparameterstoenableOracleNettracing,refertoOracleDatabaseNetServicesAdministrator'sGuide.ORA-28759:FailuretoOpenFileCause:Thesystemcouldnotopenthespecifiedfile.Typically,thiserroroccursbecausethewalletcannotbefound.Action:Checkthefollowing:Ensurethatthecorrectwalletlocationisspecifiedinthesqlnet.orafile.Thisshouldbethesamedirectorylocationwhereyousavedthewallet.EnableOracleNettracingtodeterminethenameofthefilethatcannotbeopenedandthereason.Ensurethatautologinwasenabledwhenyousavedthewallet.Referto"UsingAutoLogin"ORA-28786:DecryptionofEncryptedPrivateKeyFailureCause:Anincorrectpasswordwasusedtodecryptanencryptedprivatekey.Frequently,thishappensbecauseanautologinwalletisnotbeingused.Action:UseOracleWalletManagertoturntheautologinfeatureonforthewallet.Thensavethewalletagain.Referto,"UsingAutoLogin".ORA-28858:SSLProtocolErrorCause:ThisisagenericerrorthatcanoccurduringSSLhandshakenegotiationbetweentwoprocesses.Action:EnableOracleNettracingandattempttheconnectionagaintoproducetraceoutput.ThencontactOraclecustomersupportwiththetraceoutput.ORA-28859SSLNegotiationFailureCause:AnerroroccurredduringthenegotiationbetweentwoprocessesaspartoftheSSLprotocol.Thiserrorcanoccurwhentwosidesoftheconnectiondonotsupportacommonciphersuite.Action:Checkthefollowing:UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatch,orarecompatible.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.UseOracleNetManagertocheckwhatciphersuitesareconfiguredontheclientandtheserver,andensurethatcompatibleciphersuitesaresetonboth.SeeAlso:"Step4:SettheClientSSLCipherSuites(Optional)"fordetailsaboutsettingcompatibleciphersuitesontheclientandtheserverNote:Ifyoudonotconfigureanyciphersuites,thenallavailableciphersuitesareenabled.ORA-28862:SSLConnectionFailedCause:Thiserroroccurredbecausethepeerclosedtheconnection.Action:Checkthefollowing:Ensurethatthecorrectwalletlocationisspecifiedinthesqlnet.orafilesothesystemcanfindthewallet.UseOracleNetManagertoensurethatciphersuitesaresetcorrectlyinthesqlnet.orafile.Sometimesthiserroroccursbecausethesqlnet.orahasbeenmanuallyeditedandtheciphersuitenamesaremisspelled.Ensurethatcasesensitivestringmatchingisusedwithciphersuitenames.UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatchorarecompatible.SometimesthiserroroccursbecausetheSSLversionspecifiedontheserverandclientdonotmatch.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.Formorediagnosticinformation,enableOracleNettracingonthepeer.ORA-28865:SSLConnectionClosedCause:TheSSLconnectionclosedbecauseofanerrorintheunderlyingtransportlayer,orbecausethepeerprocessquitunexpectedly.Action:Checkthefollowing:UseOracleNetManagertoensurethattheSSLversionsonboththeclientandtheservermatch,orarecompatible.SometimesthiserroroccursbecausetheSSLversionspecifiedontheserverandclientdonotmatch.Forexample,iftheserveracceptsonlySSL3.0andtheclientacceptsonlyTLS1.0,thentheSSLconnectionwillfail.IfyouareusingaDiffie-HellmananonymousciphersuiteandtheSSL_CLIENT_AUTHENTICATIONparameterissettotrueintheserver'slistener.orafile,thentheclientdoesnotpassitscertificatetotheserver.Whentheserverdoesnotreceivetheclient'scertificate,it(theserver)cannotauthenticatetheclientsotheconnectionisclosed.Toresolvethisuseanotherciphersuite,orsetthislistener.oraparametertofalse.EnableOracleNettracingandcheckthetraceoutputfornetworkerrors.Fordetails,refertoActionslistedfor"ORA-28862:SSLConnectionFailed"ORA-28868:PeerCertificateChainCheckFailedCause:Whenthepeerpresentedthecertificatechain,itwascheckedandthatcheckfailed.Thisfailurecanbecausedbyanumberofproblems,including:Oneofthecertificatesinthechainhasexpired.Acertificateauthorityforoneofthecertificatesinthechainisnotrecognizedasatrustpoint.Thesignatureinoneofthecertificatescannotbeverified.Action:Referto,"OpeninganExistingWallet"touseOracleWalletManagertoopenyourwalletandcheckthefollowing:Ensurethatallofthecertificatesinstalledinyourwalletarecurrent(notexpired).Ensurethatacertificateauthority'scertificatefromyourpeer'scertificatechainisaddedasatrustedcertificateinyourwallet.Referto,"ImportingaTrustedCertificate"touseOracleWalletManagertoimportatrustedcertificate.ORA-28885:Nocertificatewiththerequiredkeyusagefound.Cause:YourcertificatewasnotcreatedwiththeappropriateX.509version3keyusageextension.Action:UseOracleWalletManagertocheckthecertificate'skeyusage.Referto,Table9-1,"KeyUsageValues".ORA-29024:CertificateValidationFailureCause:Thecertificatesentbytheothersidecouldnotbevalidated.Thismayoccurifthecertificatehasexpired,hasbeenrevoked,orisinvalidforanyotherreason.Action:Checkthefollowing:Checkthecertificatetodeterminewhetheritisvalid.Ifnecessary,getanewcertificate,informthesenderthathercertificatehasfailed,orresend.Checktoensurethattheserver'swallethastheappropriatetrustpointstovalidatetheclient