Zertifikatsanforderungen erstellen und Zertifikate erhalten
Erstellen Sie eine Zertifikatsanforderung, um ein Zertifikat für den Hostserver des Oracle Essbase-Servers und des Essbase-Agents zu erhalten. Eine Zertifikatsanforderung enthält verschlüsselte Informationen zum allgemeinen Namen (CN=) Ihres Servers. Sie leiten die Zertifikatsanforderung an eine Signing Authority weiter, um ein SSL-Zertifikat zu erhalten.
Sie verwenden ein Tool wie keytool oder Oracle Wallet Manager, um eine Zertifikatsanforderung zu erstellen. Ausführliche Informationen zum Erstellen einer Zertifikatsanforderung finden Sie in der Dokumentation zu dem von Ihnen verwendeten Tool.
Beispiele mit "keytool":
Erstellen Sie einen Java Keystore (JKS), und generieren Sie einen Private Key:
keytool.exe -genkey -dname "cn=myserver, ou=EPM, o=Oracle, c=US" -alias essbase_ssl -keypass password -keystore C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -storepass password -validity 365 -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -noprompt
Generieren Sie eine Zertifikatanforderung:
keytool -certreq -alias essbase_ssl -file C:\oracle\Middleware\EPMSystem11R1\ssl\essabse_server.csr -keypass password -keystore C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -storepass password
Exportieren Sie Ihren Private Key (für diese Schritte benötigen Sie das openssl
-Utility):
openssl.exe pkcs12 -in C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -passin pass:password -legacy -nocerts -out c:\Apache24\ssl\Apache24.key -passout pass:password
C:\oracle\Middleware\EPMSystem11R1\ssl\essbase.cer
.
CA-Stammzertifikate erhalten und installieren
Das CA-Stammzertifikat prüft die Gültigkeit des Zertifikats, das verwendet wird, um SSL zu unterstützen. Es enthält den Public Key, mit dem der zum Signieren des Zertifikats verwendete Private Key abgeglichen wird, um das Zertifikat zu prüfen. Sie können das CA-Stammzertifikat von der Certificate Authority erhalten, die Ihre SSL-Zertifikate signiert hat.
Installieren Sie das Stammzertifikat der CA, die das Essbase-Serverzertifikat signiert hat, auf Clients, die eine Verbindung zum Essbase-Server oder -Agent herstellen. Stellen Sie sicher, dass das Stammzertifikat im Keystore des entsprechenden Clients installiert ist. Informationen hierzu finden Sie unter Erforderliche Zertifikate und zugehörige Speicherorte.
Hinweis:
Mehrere Komponenten können ein CA-Stammzertifikat verwenden, das auf einem Serverrechner installiert ist.
CA-signierte Zertifikate installieren
Informationen zum Installieren von CA-signierten Zertifikaten finden Sie unter den folgenden Links:
Aktualisieren Sie die Datei tls.properties
im folgenden Verzeichnis:
%EPM_HOME%\essbase\bin\tls_tools.properties: certCA=c:\\ssl\\ca.crt;c:\\ssl\\intermediate.crt;c:\\ssl\\essbase.key;c:\\ssl\\essbase.cer;
Dabei gilt:
C:\ssl\ca.crt – root CA certificate. C:\ssl\intermediate.crt – intermediate CA certificate. C:\ssl\essbase.key – your private key generated in the previous step. C:\ssl\essbase.cer – your server’s signed certificate issued by your CA.
Führen Sie die folgenden Befehle aus, um den Essbase-Server mit den neuen Zertifikaten zu aktualisieren:
set ORACLE_HOME=c:\OracleSSL set EPM_HOME=%ORACLE_HOME% set WL_HOME=%ORACLE_HOME%\wlserver set JAVA_HOME=%ORACLE_HOME%\jdk set DOMAIN_HOME=%ORACLE_HOME%\user_projects\domains\essbase_domain %EPM_HOME%\essbase\bin\tls_tools.properties: %ORACLE_HOME%\\jdk\bin\java.exe -Xmx256m -jar %ORACLE_HOME%\essbase\lib\tlsTools.jar %EPM_HOME%\essbase\bin\tls_tools.properties
SSL-Einstellungen für Essbase aktualisieren
Sie können die SSL-Einstellungen für den Essbase-Server und die -Clients anpassen, indem Sie Werte für folgende Elemente in essbase.cfg
angeben.
Hinweis:
Stellen Sie sicher, dass Sie in der Dateiessbase.cfg
alle fehlenden erforderlichen Parameter hinzufügen, insbesondere EnableSecureMode
und AgentSecurePort
, und legen Sie die entsprechenden Werte fest.So aktualisieren Sie die Datei essbase.cfg
im Verzeichnis:
ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\essbase
essbase.cfg
hinzu. Beispiel: EnableClearMode
wird standardmäßig erzwungen. Mit dieser Einstellung kann der Essbase-Server über unverschlüsselte Kanäle kommunizieren. Wenn der Essbase-Server nicht über unverschlüsselte Kanäle kommunizieren soll, geben Sie EnableClearMode FALSE
in der Datei essbase.cfg
an. Informationen hierzu finden Sie in der folgenden Tabelle:
Tabelle 2-5 SSL-Einstellungen für Essbase
Einstellung | Beschreibung 1 |
---|---|
EnableClearMode2 |
Aktiviert die unverschlüsselte Kommunikation zwischen Essbase-Anwendungen und dem Essbase-Agent. Wenn diese Eigenschaft auf FALSE gesetzt wird, verarbeitet Essbase keine Nicht-SSL-Anforderungen.
Standardwert: Beispiel: |
EnableSecureMode |
Aktiviert SSL-verschlüsselte Kommunikation zwischen Essbase-Clients und dem Essbase-Agent. Diese Eigenschaft muss auf TRUE gesetzt werden, damit SSL unterstützt wird.
Standardwert: Beispiel: |
SSLCipherSuites |
Eine Liste von Cipher Suites für die SSL-Kommunikation, nach Präferenz sortiert. Der Essbase-Agent verwendet eine dieser Cipher Suites für die SSL-Kommunikation. Wenn der Agent eine Cipher Suite auswählt, hat die erste Cipher Suite in der Liste die höchste Priorität.
Standardwert: Beispiel: |
APSRESOLVER |
URL von Oracle Hyperion Provider Services. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon.
Beispiel: |
AgentSecurePort |
Der sichere Port, den der Agent abhört. Standardwert: Beispiel: |
WalletPath |
Speicherort des Oracle-Wallets (maximal 1.024 Zeichen), in dem das CA-Stammzertifikat und das signierte Zertifikat gespeichert sind.
Standardwert: Beispiel: |
ClientPreferredMode 3 |
Der Modus (sicher oder unsicher) für die Clientsession. Wenn diese Eigenschaft auf "Sicher" gesetzt ist, wird der SSL-Modus für alle Sessions verwendet.
Wenn diese Eigenschaft auf "Unsicher" gesetzt ist, hängt die Transportauswahl davon ab, ob die Clientanmeldeanforderung das sichere Transportschlüsselwort enthält. Informationen hierzu finden Sie unter Sessionbasierte SSL-Verbindung herstellen. Standardwert: Beispiel: |
|
essbase.cfg
.Verteilte Essbase-Knoten für SSL aktualisieren
Hinweis:
Dieser Abschnitt gilt nur für verteilte Deployments von EssbaseStellen Sie sicher, dass das CA-Stammzertifikat im Wallet-Ordner (z.B. WalletPath/usr/local/wallet
) enthalten ist und dass sich das signierte Zertifikat am erforderlichen Speicherort der einzelnen verteilten Knoten befindet.
Importieren Sie alle neuen CA-Zertifikate mit TLS-Tools.
Weitere Informationen finden Sie unter den folgenden Links:
ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\essbase
, und ändern Sie die folgenden Eigenschaften in der Datei essbase.properties
:
essbase.ssleverywhere=true
olap.server.ssl.alwaysSecure=true
APSRESOLVER=APS_URL
Ersetzen Sie APS_URL
durch die Provider Services-URL. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon.
https://exampleAPShost1:PORT/essbase;https://exampleAPShost2:PORT/essbase
.
Wallet
und Walletssl
sowie die Dateien essbase.cfg
und essbase.properties
in die folgenden Zielpfade.
Tabelle 2-6 Zielpfade
Zielpfade | Wallet | Walletssl | essbase.cfg | essbase. properties |
---|---|---|---|---|
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
|
Ja | Ja | Ja | Ja |
Nur für Oracle Hyperion Financial Reporting
Hinweis: In vollständigen SSL-Umgebungen ist in Financial Reporting der Essbase-Clustername zum Herstellen einer Verbindung erforderlich. Es können keine Verbindungen hergestellt werden, wenn der Hostname zum Verbinden verwendet wird. |
Ja | Ja | Ja | Ja |
Nur für Oracle Hyperion Planning
|
Ja | Ja | Ja | Ja |
Legen Sie die Umgebungsvariablen fest:
API_DISABLE_PEER_VERIFICATION
, und setzen Sie ihren Wert auf 1
.API_DISABLE_PEER_VERIFICATION=1
in setCustomParamsPlanning.sh
hinzu.SSL-Eigenschaften von JAPI-Clients anpassen
Verschiedene Standardeigenschaften sind für die auf JAPI basierenden Essbase-Komponenten vordefiniert. Die Standardeigenschaften können überschrieben werden, indem Eigenschaften in die Datei essbase.properties
eingefügt werden.
Hinweis:
Nur ein paar der in der folgenden Tabelle angegebenen SSL-Eigenschaften sind in der Dateiessbase.properties
externalisiert. Sie müssen die Eigenschaften hinzufügen, die nicht externalisiert sind.So aktualisieren Sie SSL-Eigenschaften von JAPI-Clients:
EPM_ORACLE_HOME/common/EssbaseJavaAPI-21C/11.2.0/bin/essbase.properties
in einem Texteditor.Wenn eine gewünschte Eigenschaft nicht in der Datei essbase.properties
enthalten ist, fügen Sie sie hinzu.
Tabelle 2-7 SSL-Standardeigenschaften für JAPI-Clients
Eigenschaft | Beschreibung |
---|---|
olap.server.ssl.alwaysSecure |
Legt den Modus fest, den Clients für alle Essbase-Instanzen verwenden sollen. Ändern Sie diesen Eigenschaftswert in true , um den SSL-Modus zu erzwingen.
Standardwert: |
olap.server.ssl.securityHandler |
Paketname für die Protokollverarbeitung. Sie können diesen Wert ändern, um einen anderen Handler anzugeben.
Standardwert: |
olap.server.ssl.securityProvider |
Oracle verwendet die Sun-SSL-Protokollimplementierung. Sie können diesen Wert ändern, um einen anderen Provider anzugeben.
Standardwert: |
olap.server.ssl.supportedCiphers |
Eine durch Komma getrennte Liste zusätzlicher Cipher, die für eine sichere Kommunikation aktiviert werden sollen. Sie dürfen nur Cipher angeben, die Essbase unterstützt.
Beispiel: |
olap.server.ssl.trustManagerClass |
Die TrustManager-Klasse zur Validierung des SSL-Zertifikats, indem die Signatur und das Ablaufdatum des Zertifikats geprüft werden.
Standardmäßig ist diese Eigenschaft nicht festgelegt, um alle Verifizierungsprüfungen zu erzwingen. Wenn Verifizierungsprüfungen nicht erzwungen werden sollen, setzen Sie den Wert dieses Parameters auf Wenn Sie eine benutzerdefinierte TrustManager-Klasse implementieren möchten, geben Sie einen vollqualifizierten Klassennamen der TrustManager-Klasse an, mit der die Schnittstelle Beispiel: |
essbase.properties
.