Verfahren für Oracle HTTP Server

Wallets erstellen und Zertifikate für Oracle HTTP Server installieren

Ein Standard-Wallet wird automatisch mit Oracle HTTP Server installiert. Sie müssen ein echtes Wallet für jeden Oracle HTTP Server in Ihrem Deployment konfigurieren.

Hinweis: Ab Version 11.2.x ist der Oracle-Wallet-Manager nicht auf Oracle HTTP Server installiert. Der Oracle-Wallet-Manager wird nur installiert, wenn Sie Oracle Database Client installieren. Sie müssen den in Database Client verfügbaren Wallet-Manager verwenden, um das Wallet zu erstellen und das Zertifikat zu importieren. Wenn Sie Oracle HTTP Server für SSL konfigurieren, stellen Sie sicher, dass Sie immer auch den Oracle Database-Client (64-Bit) installieren, wenn Sie Ihre EPM System-Produkte installieren.

So erstellen und installieren Sie Oracle HTTP Server-Zertifikate:

  1. Starten Sie Wallet Manager auf jedem Hostcomputer von Oracle HTTP Server.

    Wählen Sie Start, Alle Programme, Oracle-OHxxxxxx, Integrated Management Tools, Wallet Manager aus.

    xxxxxx ist die Oracle HTTP Server-Instanznummer.

  2. Erstellen Sie ein neues, leeres Wallet.

    1. Wählen Sie in Oracle Wallet Manager die Optionen Wallet, Neu aus.

    2. Klicken Sie auf Ja, um ein Wallet-Standardverzeichnis zu erstellen, oder auf Nein, um die Wallet-Datei an einem Speicherort Ihrer Wahl zu erstellen.

    3. Geben Sie im Fenster "Neues Wallet" unter Wallet-Kennwort und Kennwort bestätigen das gewünschte Kennwort ein.

    4. Klicken Sie auf OK.

    5. Klicken Sie im Bestätigungsdialogfeld auf Nein.

  3. Optional: Wenn Sie keine CA verwenden, die Oracle HTTP Server bekannt ist, importieren Sie das CA-Stammzertifikat in das Wallet.

    1. Klicken Sie in Oracle Wallet Manager mit der rechten Maustaste auf Vertrauenswürdige Zertifikate, und wählen Sie Vertrauenswürdiges Zertifikat importieren aus.

    2. Suchen Sie nach dem CA-Stammzertifikat, und wählen Sie es aus.

    3. Wählen Sie Öffnen aus.

  4. Erstellen Sie eine Zertifikatsanforderung.

    1. Klicken Sie in Oracle Wallet Manager mit der rechten Maustaste auf Zertifikat: [Leer], und wählen Sie Zertifikatsanforderung hinzufügen aus.

    2. Geben Sie unter "Zertifikatsanforderung erstellen" die erforderlichen Informationen ein.

      Geben Sie für den allgemeinen Namen den vollqualifizierten Serveralias ein, z.B. epm.myCompany.com oder epminternal.myCompany.com. Dieser Alias ist in der Datei hosts auf Ihrem System verfügbar.

    3. Klicken Sie auf OK.

    4. Klicken Sie im Bestätigungsdialogfeld auf OK.

    5. Klicken Sie mit der rechten Maustaste auf die erstellte Zertifikatsanforderung, und wählen Sie Zertifikatsanforderung exportieren aus.

    6. Geben Sie einen Namen für die Zertifikatsanforderungsdatei an.

  5. Fordern Sie mit den Zertifikatsanforderungsdateien signierte Zertifikate von der CA an.

  6. Importieren Sie signierte Zertifikate.

    1. Klicken Sie in Oracle Wallet Manager mit der rechten Maustaste auf die Zertifikatsanforderung, mit der das signierte Zertifikat angefordert wurde, und wählen Sie Benutzerzertifikat importieren aus.

    2. Klicken Sie unter "Zertifikat importieren" auf OK, um das Zertifikat aus einer Datei zu importieren.

    3. Wählen Sie unter "Zertifikat importieren" die Zertifikatsdatei aus, und klicken Sie auf Öffnen.

  7. Speichern Sie das Wallet in einem geeigneten Verzeichnis, z.B. EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem.

  8. Wählen Sie Wallet, Automatische Anmeldung aus, um die automatische Anmeldung zu aktivieren.

Oracle Wallet mit ORAPKI (in Linux) einrichten

Führen Sie die folgenden Schritte aus, um Oracle Wallet mit der ORAPKI-Befehlszeile einzurichten:

  1. Erstellen Sie einen Ordner für Ihr Wallet: 
    $ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
  2. Fügen Sie Ihrem Pfad den Speicherort des orapki-Utilitys hinzu: 
    $ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
  3. Erstellen Sie ein Wallet für Ihr Zertifikat: 
    >$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login
    Mit diesem Befehl werden Sie aufgefordert, ein Wallet-Kennwort einzugeben und das Kennwort zu bestätigen, wenn in der Befehlszeile kein Kennwort angegeben wurde. Dadurch wird ein Wallet in dem für -wallet angegebenen Speicherort erstellt.
  4. Generieren Sie einen Certificate Signing Request (CSR), und fügen Sie ihn Ihrem Wallet hinzu: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
  5. Fügen Sie das Stamm- und das Zwischenzertifikat dem vertrauenswürdigen Keystore hinzu 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
  6. Verwenden Sie Ihre Zertifizierungsstelle, um den Certificate Signing Request (CSR) zu signieren. So exportieren Sie Zertifikatsanforderungen aus Oracle-Wallets: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
  7. Importieren Sie den unterschriebenen Certificate Signing Request in Ihr Wallet: 
        $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
  8. So zeigen Sie die Inhalte von Wallets an: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]

SSL-Aktivierung für Oracle HTTP Server

Nachdem Sie den Webserver auf jedem Hostcomputer von Oracle HTTP Server neu konfiguriert haben, aktualisieren die die Oracle HTTP Server-Konfigurationsdatei, indem Sie den Speicherort des Standard-Wallets durch den Speicherort des von Ihnen erstellten Wallets ersetzen.

So konfigurieren Sie Oracle HTTP Server für SSL:

  1. Konfigurieren Sie den Webserver auf jedem Oracle HTTP Server-Hostcomputer in Ihrem Deployment neu.

  2. Starten Sie EPM System Configurator für die Instanz.

  3. Führen Sie im Fenster zur Auswahl der Konfigurationsaufgaben die folgenden Schritte aus, und klicken Sie anschließend auf Weiter.

    1. Heben Sie die Auswahl von Alle deaktivieren aus.

    2. Blenden Sie die Aufgabengruppe Hyperion Foundation ein, und wählen Sie Webserver konfigurieren aus.

  4. Klicken Sie unter Webserver konfigurieren auf Weiter.

  5. Klicken Sie unter Bestätigung auf Weiter.

  6. Klicken Sie unter Zusammenfassung auf Fertig stellen.

  7. Öffnen Sie EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf mit einem Texteditor.

  8. Stellen Sie sicher, dass der von Ihnen verwendete SSL-Port unter OHS Listen port aufgeführt ist. Beispiel:

    Wenn Sie 19443 als SSL-Kommunikationsport verwenden, sollten Ihre Einträge wie folgt aussehen:

    Listen 19443

  9. Setzen Sie den Wert des Parameters SSLSessionCache auf none.

  10. Aktualisieren Sie die Konfigurationseinstellungen für jeden Oracle HTTP Server in Ihrem Deployment.

    1. Öffnen Sie EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf mit einem Texteditor.

    2. Suchen Sie die Anweisung SSLWallet, und ändern Sie den zugehörigen Wert so, dass er auf das Wallet verweist, in dem Sie das Zertifikat installiert haben. Wenn Sie das Wallet in EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem erstellt haben, kann die Anweisung SSLWallet wie folgt aussehen:

      SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"

    3. Speichern und schließen Sie die Datei ssl.conf.

  11. Aktualisieren Sie die Datei mod_wl_ohs.conf auf jedem Oracle HTTP Server in Ihrem Deployment.

    1. Öffnen Sie EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf mit einem Texteditor.

    2. Stellen Sie sicher, dass die Anweisung WLSSLWallet auf das Oracle-Wallet verweist, in dem das SSL-Zertifikat gespeichert ist.

      WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet

      Beispiel: C:/Oracle/Middleware/ohs/bin/wallets/myWallet

    3. Setzen Sie den Wert der Anweisung SecureProxy auf ON.

      SecureProxy ON

    4. Stellen Sie sicher, dass die LocationMatch-Definitionen für bereitgestellte Oracle Enterprise Performance Management System-Komponenten dem folgenden Oracle Hyperion Shared Services-Beispiel ähneln. Hier wird ein Oracle WebLogic Server-Cluster angenommen (auf myserver1 und myserver2 mit SSL-Port 28443):

      <LocationMatch /interop/>
    SetHandler weblogic-handler
    pathTrim /
    WeblogicCluster myServer1:28443,myServer2:28443
    WLProxySSL ON
</LocationMatch>

    5. Speichern und schließen Sie die Datei mod_wl_ohs.conf.