Vertrauenswürdige CA-Zertifikate von Drittanbietern für Essbase verwenden

Zertifikatsanforderungen erstellen und Zertifikate erhalten

Erstellen Sie eine Zertifikatsanforderung, um ein Zertifikat für den Hostserver des Oracle Essbase-Servers und des Essbase-Agents zu erhalten. Eine Zertifikatsanforderung enthält verschlüsselte Informationen zu Ihrem Distinguished Name (DN). Sie leiten die Zertifikatsanforderung an eine Signing Authority weiter, um ein SSL-Zertifikat zu erhalten.

Sie verwenden ein Tool wie keytool oder Oracle Wallet Manager, um eine Zertifikatsanforderung zu erstellen. Ausführliche Informationen zum Erstellen einer Zertifikatsanforderung finden Sie in der Dokumentation zu dem von Ihnen verwendeten Tool.

Wenn Sie keytool verwenden, erstellen Sie eine Zertifikatsanforderung mit einem Befehl wie dem folgenden:

keytool -certreq -alias essbase_ssl -file C:/certs/essabse_server_csr -keypass password -storetype jks -keystore C:\oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password

CA-Stammzertifikate erhalten und installieren

Das CA-Stammzertifikat prüft die Gültigkeit des Zertifikats, das verwendet wird, um SSL zu unterstützen. Es enthält den Public Key, mit dem der zum Signieren des Zertifikats verwendete Private Key abgeglichen wird, um das Zertifikat zu prüfen. Sie können das CA-Stammzertifikat von der Certificate Authority erhalten, die Ihre SSL-Zertifikate signiert hat.

Installieren Sie das Stammzertifikat der CA, die das Essbase-Serverzertifikat signiert hat, auf Clients, die eine Verbindung zum Essbase-Server oder -Agent herstellen. Stellen Sie sicher, dass das Stammzertifikat im Keystore des entsprechenden Clients installiert ist. Informationen hierzu finden Sie unter Erforderliche Zertifikate und zugehörige Speicherorte.

Hinweis:

Mehrere Komponenten können ein CA-Stammzertifikat verwenden, das auf einem Serverrechner installiert ist.

Oracle-Wallet

In Erforderliche Zertifikate und zugehörige Speicherorte finden Sie eine Liste der Komponenten, für die das CA-Stammzertifikat in einem Oracle-Wallet installiert sein muss. Sie können ein Wallet erstellen oder das Zertifikat im Demo-Wallet installieren, in dem das selbstsignierte Standardzertifikat installiert ist.

Ausführliche Anweisungen zum Erstellen von Wallets und zum Importieren von CA-Stammzertifikaten finden Sie in der Dokumentation zu Oracle Wallet Manager.

Java-Keystore

In Erforderliche Zertifikate und zugehörige Speicherorte finden Sie eine Liste der Komponenten, für die das CA-Stammzertifikat in einem Java-Keystore installiert sein muss. Sie können das Zertifikat dem Keystore hinzufügen, in dem das selbstsignierte Standardzertifikat installiert ist, oder einen Keystore erstellen, um das Zertifikat zu speichern.

Hinweis:

Die CA-Stammzertifikate vieler bekannter Drittanbieter-CAs sind bereits im JVM-Keystore installiert.

Ausführliche Anweisungen finden Sie in der Dokumentation zu dem von Ihnen verwendeten Tool. Wenn Sie keytool verwenden, können Sie das Stammzertifikat mit einem Befehl wie dem folgenden importieren:

keytool -import -alias blister_CA -file c:/certs/CA.crt -keypass
password -trustcacerts -keystore C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl
\keystore -storepass password

Signierte Zertifikate installieren

Sie installieren die signierten SSL-Zertifikate auf dem Hostserver des Essbase-Servers und des Essbase-Agents. Für Komponenten, die Essbase RTC (C-APIs) verwenden, um eine Verbindung zum Essbase-Server oder -Agent herzustellen, muss das Zertifikat in einem Oracle-Wallet mit dem CA-Stammzertifikat gespeichert werden. Für Komponenten, die JAPI verwenden, um eine Verbindung zum Essbase-Server oder -Agent herzustellen, müssen das CA-Stammzertifikat und das signierte SSL-Zertifikat in einem Java-Keystore gespeichert werden. Ausführliche Anweisungen finden Sie in den folgenden Informationsquellen:

  • Dokumentation zu Oracle Wallet Manager
  • Dokumentation oder Onlinehilfe zu dem Tool, das Sie für den Import des Zertifikats verwenden, z.B. keytool

Wenn Sie keytool verwenden, können Sie das Zertifikat mit einem Befehl wie dem folgenden importieren:

keytool -import -alias essbase_ssl -file C:/certs/essbase_ssl_crt -keypass password -keystore
 C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password

Registry-Werte für den Essbase-Server aktualisieren

Windows

  1. Wechseln Sie über eine Befehlszeile zum Verzeichnis EPM_ORACLE_INSTANCE/epmsystem1/bin.
  2. Führen Sie die folgenden Befehle aus, um die Windows-Registry zu aktualisieren:

    epmsys_registry.bat updateproperty "#<Object ID>/@EnableSecureMode" true

    epmsys_registry.bat updateproperty "#<Object ID>/@EnableClearMode" false

    Stellen Sie sicher, dass <Object ID> durch die Komponenten-ID des Essbase-Servers ersetzt wird, die im Registry-Bericht verfügbar ist, der nach Abschluss des Konfigurationsprozesses für den Essbase-Server generiert wird.

Linux

  1. Wechseln Sie in einer Konsole zum Verzeichnis EPM_ORACLE_INSTANCE/epmsystem1/bin.
  2. Führen Sie die folgenden Befehle aus, um die Registry zu aktualisieren:

    epmsys_registry.sh updateproperty "#<Object ID>/@EnableSecureMode" true

    epmsys_registry.sh updateproperty "#<Object ID>/@EnableClearMode" false

    Stellen Sie sicher, dass <Object ID> durch die Komponenten-ID des Essbase-Servers ersetzt wird, die im Registry-Bericht verfügbar ist, der nach Abschluss des Konfigurationsprozesses für den Essbase-Server generiert wird.

SSL-Einstellungen für Essbase aktualisieren

Sie können die SSL-Einstellungen für den Essbase-Server und die -Clients anpassen, indem Sie Werte für folgende Elemente in essbase.cfg angeben.

  • Einstellung zum Aktivieren des sicheren Modus
  • Einstellung zum Aktivieren des unsicheren Modus
  • Bevorzugter Modus für die Kommunikation mit Clients (nur von Clients verwendet)
  • Sicherer Port
  • Cipher Suites
  • Oracle-Wallet-Pfad

Hinweis:

Stellen Sie sicher, dass Sie in der Datei essbase.cfg alle fehlenden erforderlichen Parameter hinzufügen, insbesondere EnableSecureModeund AgentSecurePort, und legen Sie die entsprechenden Werte fest.

So aktualisieren Sie die Datei essbase.cfg:

  1. Kopieren Sie das Oracle-Wallet mit Zertifikaten für den Essbase-Server in das Verzeichnis EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/wallet.

    Dies ist das einzige Verzeichnis für das Oracle-Wallet, das für den Essbase-Server zulässig ist.

  2. Öffnen Sie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg mit einem Texteditor.
  3. Geben Sie Einstellungen nach Bedarf ein. Essbase-Standardeinstellungen sind impliziert. Wenn Sie das Standardverhalten ändern müssen, fügen Sie die Einstellungen für das benutzerdefinierte Verhalten in der Datei essbase.cfg hinzu. Beispiel: EnableClearMode wird standardmäßig erzwungen. Mit dieser Einstellung kann der Essbase-Server über unverschlüsselte Kanäle kommunizieren. Wenn der Essbase-Server nicht über unverschlüsselte Kanäle kommunizieren soll, geben Sie EnableClearMode FALSE in der Datei essbase.cfg an. Informationen hierzu finden Sie in der folgenden Tabelle.

    Tabelle 2-2 SSL-Einstellungen für Essbase

    Einstellung Beschreibung 1
    EnableClearMode2 Aktiviert die unverschlüsselte Kommunikation zwischen Essbase-Anwendungen und dem Essbase-Agent. Wenn diese Eigenschaft auf FALSE gesetzt wird, verarbeitet Essbase keine Nicht-SSL-Anforderungen.

    Standardwert: EnableClearMode TRUE

    Beispiel: EnableClearMode FALSE
    EnableSecureMode Aktiviert SSL-verschlüsselte Kommunikation zwischen Essbase-Clients und dem Essbase-Agent. Diese Eigenschaft muss auf TRUE gesetzt werden, damit SSL unterstützt wird.

    Standardwert: FALSE

    Beispiel: EnableSecureMode TRUE
    SSLCipherSuites Eine Liste von Cipher Suites für die SSL-Kommunikation, nach Präferenz sortiert. Der Essbase-Agent verwendet eine dieser Cipher Suites für die SSL-Kommunikation. Wenn der Agent eine Cipher Suite auswählt, hat die erste Cipher Suite in der Liste die höchste Priorität.

    Standardwert: SSL_RSA_WITH_RC4_128_MD5

    Beispiel: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    APSRESOLVER URL von Oracle Hyperion Provider Services. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon.

    Beispiel: APSRESOLVER https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps
    AgentSecurePort

    Der sichere Port, den der Agent abhört.

    Standardwert: 6423

    Beispiel: AgentSecurePort 16001
    WalletPath Speicherort des Oracle-Wallets (maximal 1.024 Zeichen), in dem das CA-Stammzertifikat und das signierte Zertifikat gespeichert sind.

    Standardwert: ARBORPATH/bin/wallet

    Beispiel: WalletPath/usr/local/wallet
    ClientPreferredMode3 Der Modus (sicher oder unsicher) für die Clientsession. Wenn diese Eigenschaft auf "Sicher" gesetzt ist, wird der SSL-Modus für alle Sessions verwendet.

    Wenn diese Eigenschaft auf "Unsicher" gesetzt ist, hängt die Transportauswahl davon ab, ob die Clientanmeldeanforderung das sichere Transportschlüsselwort enthält. Informationen hierzu finden Sie unter Sessionbasierte SSL-Verbindung herstellen.

    Standardwert: CLEAR

    Beispiel: ClientPreferredMode SECURE

    1 Der Standardwert wird erzwungen, wenn diese Eigenschaften nicht in essbase.cfg verfügbar sind.

    2 Essbase funktioniert nicht, wenn EnableClearMode und EnableSecureMode auf FALSE gesetzt sind.

    3 Clients verwenden diese Einstellung, um festzulegen, ob sie eine sichere oder unsichere Verbindung zu Essbase herstellen sollen.
  4. Speichern und schließen Sie die Datei essbase.cfg.

Verteilte Essbase-Knoten für SSL aktualisieren

Hinweis:

Dieser Abschnitt gilt nur für verteilte Deployments von Essbase

Stellen Sie sicher, dass das CA-Stammzertifikat im Wallet-Ordner (z.B. WalletPath/usr/local/wallet) enthalten ist und dass sich das signierte Zertifikat am erforderlichen Speicherort der einzelnen verteilten Knoten befindet.

  1. Kopieren Sie den Wallet-Ordner in die folgenden Speicherorte der einzelnen verteilten Knoten:
    • EPM_ORACLE_HOME/common/EssbaseRTC/11.1.2.0/bin
    • EPM_ORACLE_HOME/common/EssbaseRTC-64/11.1.2.0/bin
  2. Kopieren Sie den Wallet-Ordner in die folgenden Speicherorte der einzelnen verteilten Knoten, sofern vorhanden:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer-32/bin
    • EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin
  3. Kopieren Sie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg in die folgenden Speicherorte der einzelnen verteilten Knoten:
    • EPM_ORACLE_HOME/common/EssbaseRTC/11.1.2.0/bin
    • EPM_ORACLE_HOME/common/EssbaseRTC-64/11.1.2.0/bin
  4. Kopieren Sie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg in die folgenden Speicherorte der einzelnen verteilten Knoten, sofern vorhanden:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer-32/bin
    • EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin
  5. Kopieren Sie den Wallet-Ordner in die Essbase-Clientinstallationsverzeichnisse der einzelnen verteilten Knoten:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient-32/bin
  6. Kopieren Sie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg in die folgenden Essbase-Clientinstallationsverzeichnisse der einzelnen verteilten Knoten:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient-32/bin
  7. Fügen Sie die folgenden Eigenschaften in der Datei essbase.properties hinzu:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=http[s]://host:httpsPort/aps

      Ersetzen Sie diesen Wert unbedingt durch die entsprechende URL.

    Sie müssen die Datei essbase.properties in den folgenden Speicherorten der einzelnen verteilten Knoten aktualisieren, sofern vorhanden:

    • EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.2.0/bin/essbase.properties
    • EPM_ORACLE_HOME/products/Essbase/aps/bin/essbase.properties
    • EPM_ORACLE_INSTANCE/aps/bin/essbase.properties
  8. Kopieren Sie EPM_ORACLE_HOME/products/Essbase/aps/bin/essbase.properties in das Verzeichnis EPM_ORACLE_HOME/products/Essbase/eas der einzelnen verteilten Knoten, sofern vorhanden.
  9. Nur für Oracle Hyperion Planning: Fügen Sie die folgenden drei Eigenschaften in der Datei essbase.properties hinzu:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=APS_URL

      Ersetzen Sie APS_URL durch die Provider Services-URL. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon. Beispiel: https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps.

      Sie müssen die Datei essbase.properties in den folgenden Speicherorten der einzelnen verteilten Knoten aktualisieren:

      • EPM_ORACLE_HOME/products/Planning/config/essbase.properties
      • EPM_ORACLE_HOME/products/Planning/lib/essbase.properties
  10. Nur für Oracle Hyperion Financial Reporting: Fügen Sie die folgenden drei Eigenschaften in der Datei EPM_ORACLE_HOME/products/financialreporting/bin/EssbaseJAPI/bin/essbase.properties hinzu:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=APS_URL

      Ersetzen Sie APS_URL durch die Provider Services-URL. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon. Beispiel: https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps.

    Hinweis:

    In vollständigen SSL-Umgebungen ist es für Financial Reporting erforderlich, dass mit dem Essbase-Clusternamen eine Verbindung hergestellt wird. Es können keine Verbindungen hergestellt werden, wenn der Hostname zum Verbinden verwendet wird.
    1. Legen Sie die Umgebungsvariablen fest:
      • Windows: Erstellen Sie eine neue Systemvariable namens API_DISABLE_PEER_VERIFICATION, und setzen Sie ihren Wert auf 1.
      • Linux: Fügen Sie die Direktive API_DISABLE_PEER_VERIFICATION=1 in setCustomParamsPlanning.sh hinzu.
    2. Fügen Sie die Direktive API_DISABLE_PEER_VERIFICATION=1 in EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/setEssbaseenv.bat oder EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/setEssbaseenv.sh hinzu.
    Legen Sie Umgebungsvariablen fest:

SSL-Eigenschaften von JAPI-Clients anpassen

Verschiedene Standardeigenschaften sind für die auf JAPI basierenden Essbase-Komponenten vordefiniert. Die Standardeigenschaften können überschrieben werden, indem Eigenschaften in die Datei essbase.properties eingefügt werden.

Hinweis:

Nur ein paar der in der folgenden Tabelle angegebenen SSL-Eigenschaften sind in der Datei essbase.properties externalisiert. Sie müssen die Eigenschaften hinzufügen, die nicht externalisiert sind.

So aktualisieren Sie SSL-Eigenschaften von JAPI-Clients:

  1. Öffnen Sie EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.1.2.0/bin/essbase.properties mit einem Texteditor.
  2. Aktualisieren Sie Eigenschaften nach Bedarf. Eine Beschreibung der anpassbaren JAPI-Clienteigenschaften finden Sie in der folgenden Tabelle.

    Wenn eine gewünschte Eigenschaft nicht in der Datei essbase.properties enthalten ist, fügen Sie sie hinzu.

    Tabelle 2-3 SSL-Standardeigenschaften für JAPI-Clients

    Eigenschaft Beschreibung
    olap.server.ssl.alwaysSecure Legt den Modus fest, den Clients für alle Essbase-Instanzen verwenden sollen. Ändern Sie diesen Eigenschaftswert in true, um den SSL-Modus zu erzwingen.

    Standardwert: false
    olap.server.ssl.securityHandler Paketname für die Protokollverarbeitung. Sie können diesen Wert ändern, um einen anderen Handler anzugeben.

    Standardwert: java.protocol.handler.pkgs
    olap.server.ssl.securityProvider Oracle verwendet die Sun-SSL-Protokollimplementierung. Sie können diesen Wert ändern, um einen anderen Provider anzugeben.

    Standardwert: com.sun.net.ssl.internal.www.protocol
    olap.server.ssl.supportedCiphers Eine durch Komma getrennte Liste zusätzlicher Cipher, die für eine sichere Kommunikation aktiviert werden sollen. Sie dürfen nur Cipher angeben, die Essbase unterstützt.

    Beispiel: SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    olap.server.ssl.trustManagerClass Die TrustManager-Klasse zur Validierung des SSL-Zertifikats, indem die Signatur und das Ablaufdatum des Zertifikats geprüft werden.

    Standardmäßig ist diese Eigenschaft nicht festgelegt, um alle Verifizierungsprüfungen zu erzwingen.

    Wenn Verifizierungsprüfungen nicht erzwungen werden sollen, setzen Sie den Wert dieses Parameters auf com.essbase.services.olap.security.EssDefaultTrustManager. Hierbei handelt es sich um die TrustManager-Standardklasse, mit der alle Verifizierungsprüfungen erfolgreich ausgeführt werden können.

    Wenn Sie eine benutzerdefinierte TrustManager-Klasse implementieren möchten, geben Sie einen vollqualifizierten Klassennamen der TrustManager-Klasse an, mit der die Schnittstelle javax.net.ssl.X509TrustManager implementiert wird.

    Beispiel: com.essbase.services.olap.security.EssDefaultTrustManager
  3. Speichern und schließen Sie die Datei essbase.properties.
  4. Starten Sie alle Essbase-Komponenten neu.