HFM-Server für die Verwendung von SSL-Datenbankverbindungen konfigurieren

Zertifikate der Datenbank zum Truststore auf HFM-Servern hinzufügen

Die folgenden Schritte müssen auf jedem einzelnen EPM-Server ausgeführt werden, auf dem die HFM-Datenquelle ausgeführt wird. Die unten verwendete Umgebungsvariable %MW_HOME% steht für den Speicherort der Oracle Middleware-Installation. Diese Umgebungsvariable wird bei der EPM-Installation nicht standardmäßig erstellt. Sie wird hier verwendet, um das übergeordnete Verzeichnis der EPM-Installation anzuzeigen.

Der Speicherort der EPM-Installation wird durch die Umgebungsvariable EMP_ORACLE_HOME angegeben. Im Beispiel unten werden Keystore und Truststore in dasselbe Verzeichnis gestellt wie die EPM-Installation. Die Keystore- und Truststore-Dateien können sich an einer beliebigen Stelle des HFM-Serverdateisystems befinden.

  1. Erstellen Sie ein neues Verzeichnis unter %MW_HOME%, in dem der Java-Keystore und der PKCS12-Truststore gespeichert werden.
    1. cd %MW_HOME%
    2. mkdir certs
  2. Kopieren Sie die Java-Keystore-Datei "cacerts" aus dem JDK.
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      Der JDK-Keystore muss kopiert und anstelle des JDK-Standard-Keystores verwendet werden, weil die in den Standard-Keystore eingefügten Schlüssel und Zertifikate verloren gehen, wenn das JDK upgegradet und das vorherige JDK gelöscht wird.

  3. Kopieren Sie das Base64-Zertifikat nach %MW_HOME%\certs.
  4. Importieren Sie das Zertifikat in die Java-Keystore-Datei testing_cacerts.
    1. Beispiel: keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"
      1. Sie müssen das Kennwort für den Keystore angeben.
      2. Sie müssen "myserver" durch die vollqualifizierte Domain des Datenbankservers ersetzen.
    2. Wenn Sie gefragt werden, ob das Zertifikat vertrauenswürdig ist, geben Sie j an.
  5. Erstellen Sie den Truststore im PKCS12-Format aus der Java-Keystore-Datei von JDK. Beispiel: 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

HFM-JDBC-Verbindungen für die Verwendung von SSL aktualisieren

  1. Konfigurieren Sie die JDBC-Verbindung für die HFM-Datenbank neu, um SSL zu verwenden.
    1. Starten Sie das EPM-Konfigurationstool.
      1. Wählen Sie die Knoten Datenbank konfigurieren und Auf Anwendungsserver bereitstellen unter dem Financial Management-Knoten aus.
      2. Klicken Sie auf Weiter.
      3. Führen Sie jeden der folgenden Schritte für die HFM-JDBC-Verbindung aus.
        1. Geben Sie den SSL-Port, den Servicenamen, den Benutzernamen und das Kennwort in den zugehörigen Spalten ein.
        2. Klicken Sie auf (+), um die erweiterten Datenbankoptionen zu öffnen.
        3. Aktivieren Sie das Kontrollkästchen Sichere Verbindungen verwenden.
        4. Geben Sie den Speicherort des in Schritt 2 erstellten Java-Keystores ein.
        5. Klicken Sie auf Anwenden.
        6. Klicken Sie auf (+), um die erweiterten Datenbankoptionen zu öffnen.
        7. Klicken Sie auf JDBC-URL bearbeiten und geänderte Version verwenden. Beachten Sie, dass an der angezeigten JDBC-URL keine Änderungen vorgenommen werden dürfen.
        8. Klicken Sie auf Anwenden.
        9. Klicken Sie auf Weiter.
    2. Führen Sie die restlichen Schritte aus, um die HFM-Anwendung bereitzustellen, wie in der EPM-Dokumentation beschrieben.
  2. Öffnen Sie ein Befehlsfenster oder eine Shell, um die EPM-Registry so zu aktualisieren, dass SSL für die von der Datenquelle verwendete ODBC-Verbindung aktiviert werden kann.

    Führen Sie alle unten aufgeführten Befehle aus:

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    In den obigen Beispielen ist der Pfad C:\Oracle\Middleware der Wert von %MW_HOME% in den Schritten 1, 2 und 3.

    Die Eigenschaft FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE darf nur auf "False" gesetzt werden, wenn ein selbstsigniertes Zertifikat verwendet wird. Der Wert von FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD muss das Kennwort des usprünglichen, in Schritt 2 kopierten Java-Keystores sein.

Von HFM verwendete TNS-Namenseinträge aktualisieren

Bearbeiten Sie TNSNAMES.ORA, um einen neuen Eintrag zu erstellen, und benennen Sie den alten Eintrag um. Das folgende Beispiel zeigt eine aktualisierte TNSNAMES.ORA-Datei auf dem HFM-Server, bei der die erforderlichen Änderungen angewendet wurden. Grund für diese Änderungen ist, dass HFM den TNS-Namenseintrag HFMTNS sucht und verwendet. In diesem Eintrag müssen das Protokoll und der Port geändert werden, damit XFMDataSource ordnungsgemäß funktioniert.

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

Der ursprüngliche HFMTNS-Eintrag wurde in HFMTNS_UNENC umbenannt. Der neue HFMTNS-Eintrag wurde erstellt, indem der Eintrag HFMTNS_UNENC kopiert und in HFMTNS umbenannt wurde. Anschließend wurde das Protokoll in TCPS aktualisiert und der Port in 1522 geändert. Der angegebene Port muss mit dem in der Datei TNS LISTENER.ORA angegebenen Port übereinstimmen.