Vertrauenswürdige CA-Zertifikate von Drittanbietern für Essbase verwenden

Zertifikatsanforderungen erstellen und Zertifikate erhalten

Erstellen Sie eine Zertifikatsanforderung, um ein Zertifikat für den Hostserver des Oracle Essbase-Servers und des Essbase-Agents zu erhalten. Eine Zertifikatsanforderung enthält verschlüsselte Informationen zum allgemeinen Namen (CN=) Ihres Servers. Sie leiten die Zertifikatsanforderung an eine Signing Authority weiter, um ein SSL-Zertifikat zu erhalten.

Sie verwenden ein Tool wie keytool oder Oracle Wallet Manager, um eine Zertifikatsanforderung zu erstellen. Ausführliche Informationen zum Erstellen einer Zertifikatsanforderung finden Sie in der Dokumentation zu dem von Ihnen verwendeten Tool.

Beispiele mit "keytool":

Erstellen Sie einen Java Keystore (JKS), und generieren Sie einen Private Key:

keytool.exe -genkey -dname "cn=myserver, ou=EPM, o=Oracle, c=US" 
-alias essbase_ssl -keypass password -keystore 
C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -storepass password 
-validity 365 -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -noprompt

Generieren Sie eine Zertifikatanforderung:

keytool -certreq -alias essbase_ssl -file C:\oracle\Middleware\EPMSystem11R1\ssl\essabse_server.csr -keypass password 
-keystore C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -storepass password

Exportieren Sie Ihren Private Key (für diese Schritte benötigen Sie das openssl-Utility):

  1. openssl.exe pkcs12 -in C:\oracle\Middleware\EPMSystem11R1\ssl\EPM.JKS -passin pass:password -legacy -nocerts -out c:\Apache24\ssl\Apache24.key -passout pass:password
  2. Signieren Sie die neu generierte Zertifikatsanforderung mit Ihrer CA (Certifying Authority), und fügen Sie sie in die folgende Datei ein:

    C:\oracle\Middleware\EPMSystem11R1\ssl\essbase.cer.

CA-Stammzertifikate erhalten und installieren

Das CA-Stammzertifikat prüft die Gültigkeit des Zertifikats, das verwendet wird, um SSL zu unterstützen. Es enthält den Public Key, mit dem der zum Signieren des Zertifikats verwendete Private Key abgeglichen wird, um das Zertifikat zu prüfen. Sie können das CA-Stammzertifikat von der Certificate Authority erhalten, die Ihre SSL-Zertifikate signiert hat.

Installieren Sie das Stammzertifikat der CA, die das Essbase-Serverzertifikat signiert hat, auf Clients, die eine Verbindung zum Essbase-Server oder -Agent herstellen. Stellen Sie sicher, dass das Stammzertifikat im Keystore des entsprechenden Clients installiert ist. Informationen hierzu finden Sie unter Erforderliche Zertifikate und zugehörige Speicherorte.

Hinweis:

Mehrere Komponenten können ein CA-Stammzertifikat verwenden, das auf einem Serverrechner installiert ist.

CA-signierte Zertifikate installieren

Informationen zum Installieren von CA-signierten Zertifikaten finden Sie unter den folgenden Links:

Aktualisieren Sie die Datei tls.properties im folgenden Verzeichnis:

%EPM_HOME%\essbase\bin\tls_tools.properties:
certCA=c:\\ssl\\ca.crt;c:\\ssl\\intermediate.crt;c:\\ssl\\essbase.key;c:\\ssl\\essbase.cer;

Dabei gilt:

C:\ssl\ca.crt – root CA certificate.
C:\ssl\intermediate.crt – intermediate CA certificate.
C:\ssl\essbase.key – your private key generated in the previous step.
C:\ssl\essbase.cer – your server’s signed certificate issued by your CA.

Führen Sie die folgenden Befehle aus, um den Essbase-Server mit den neuen Zertifikaten zu aktualisieren:

set ORACLE_HOME=c:\OracleSSL
set EPM_HOME=%ORACLE_HOME%
set WL_HOME=%ORACLE_HOME%\wlserver
set JAVA_HOME=%ORACLE_HOME%\jdk
set DOMAIN_HOME=%ORACLE_HOME%\user_projects\domains\essbase_domain
%EPM_HOME%\essbase\bin\tls_tools.properties:
%ORACLE_HOME%\\jdk\bin\java.exe -Xmx256m -jar %ORACLE_HOME%\essbase\lib\tlsTools.jar %EPM_HOME%\essbase\bin\tls_tools.properties

SSL-Einstellungen für Essbase aktualisieren

Sie können die SSL-Einstellungen für den Essbase-Server und die -Clients anpassen, indem Sie Werte für folgende Elemente in essbase.cfg angeben.

  • Einstellung zum Aktivieren des sicheren Modus
  • Einstellung zum Aktivieren des unsicheren Modus
  • Bevorzugter Modus für die Kommunikation mit Clients (nur von Clients verwendet)
  • Sicherer Port
  • Cipher Suites
  • Oracle-Wallet-Pfad

Hinweis:

Stellen Sie sicher, dass Sie in der Datei essbase.cfg alle fehlenden erforderlichen Parameter hinzufügen, insbesondere EnableSecureModeund AgentSecurePort, und legen Sie die entsprechenden Werte fest.

So aktualisieren Sie die Datei essbase.cfg im Verzeichnis:

ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\essbase
  1. Geben Sie Einstellungen nach Bedarf ein. Essbase-Standardeinstellungen sind impliziert. Wenn Sie das Standardverhalten ändern müssen, fügen Sie die Einstellungen für das benutzerdefinierte Verhalten in der Datei essbase.cfg hinzu. Beispiel: EnableClearMode wird standardmäßig erzwungen. Mit dieser Einstellung kann der Essbase-Server über unverschlüsselte Kanäle kommunizieren. Wenn der Essbase-Server nicht über unverschlüsselte Kanäle kommunizieren soll, geben Sie EnableClearMode FALSE in der Datei essbase.cfg an. Informationen hierzu finden Sie in der folgenden Tabelle:

    Tabelle 2-5 SSL-Einstellungen für Essbase

    Einstellung Beschreibung 1
    EnableClearMode2 Aktiviert die unverschlüsselte Kommunikation zwischen Essbase-Anwendungen und dem Essbase-Agent. Wenn diese Eigenschaft auf FALSE gesetzt wird, verarbeitet Essbase keine Nicht-SSL-Anforderungen.

    Standardwert: EnableClearMode TRUE

    Beispiel: EnableClearMode FALSE
    EnableSecureMode Aktiviert SSL-verschlüsselte Kommunikation zwischen Essbase-Clients und dem Essbase-Agent. Diese Eigenschaft muss auf TRUE gesetzt werden, damit SSL unterstützt wird.

    Standardwert: FALSE

    Beispiel: EnableSecureMode TRUE
    SSLCipherSuites Eine Liste von Cipher Suites für die SSL-Kommunikation, nach Präferenz sortiert. Der Essbase-Agent verwendet eine dieser Cipher Suites für die SSL-Kommunikation. Wenn der Agent eine Cipher Suite auswählt, hat die erste Cipher Suite in der Liste die höchste Priorität.

    Standardwert: SSL_RSA_WITH_RC4_128_MD5

    Beispiel: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    APSRESOLVER URL von Oracle Hyperion Provider Services. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon.

    Beispiel: https://exampleAPShost1:PORT/essbase;https://exampleAPShost2:PORT/essbase
    AgentSecurePort

    Der sichere Port, den der Agent abhört.

    Standardwert: 6423

    Beispiel: AgentSecurePort 16001
    WalletPath Speicherort des Oracle-Wallets (maximal 1.024 Zeichen), in dem das CA-Stammzertifikat und das signierte Zertifikat gespeichert sind.

    Standardwert: ARBORPATH/bin/wallet

    Beispiel: WalletPath/usr/local/wallet
    ClientPreferredMode 3 Der Modus (sicher oder unsicher) für die Clientsession. Wenn diese Eigenschaft auf "Sicher" gesetzt ist, wird der SSL-Modus für alle Sessions verwendet.

    Wenn diese Eigenschaft auf "Unsicher" gesetzt ist, hängt die Transportauswahl davon ab, ob die Clientanmeldeanforderung das sichere Transportschlüsselwort enthält. Informationen hierzu finden Sie unter Sessionbasierte SSL-Verbindung herstellen.

    Standardwert: CLEAR

    Beispiel: ClientPreferredMode SECURE
    • 1 Der Standardwert wird erzwungen, wenn diese Eigenschaften nicht in essbase.cfg verfügbar sind.
    • 2 Essbase funktioniert nicht, wenn EnableClearMode und EnableSecureMode auf FALSE gesetzt sind.
    • 3 Clients verwenden diese Einstellung, um festzulegen, ob sie eine sichere oder unsichere Verbindung zu Essbase herstellen sollen.
  2. Speichern und schließen Sie die Datei essbase.cfg.

Verteilte Essbase-Knoten für SSL aktualisieren

Hinweis:

Dieser Abschnitt gilt nur für verteilte Deployments von Essbase

Stellen Sie sicher, dass das CA-Stammzertifikat im Wallet-Ordner (z.B. WalletPath/usr/local/wallet) enthalten ist und dass sich das signierte Zertifikat am erforderlichen Speicherort der einzelnen verteilten Knoten befindet.

  1. Importieren Sie alle neuen CA-Zertifikate mit TLS-Tools.

    Weitere Informationen finden Sie unter den folgenden Links:

  2. Navigieren Sie zum Quellstandort: ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\essbase, und ändern Sie die folgenden Eigenschaften in der Datei essbase.properties:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=APS_URL

      Ersetzen Sie APS_URL durch die Provider Services-URL. Wenn Sie verschiedene Provider Services-Server verwenden, trennen Sie die einzelnen URLs durch ein Semikolon.

      https://exampleAPShost1:PORT/essbase;https://exampleAPShost2:PORT/essbase.

  3. Kopieren Sie die Ordner Wallet und Walletssl sowie die Dateien essbase.cfg und essbase.properties in die folgenden Zielpfade.

    Tabelle 2-6 Zielpfade

    Zielpfade Wallet Walletssl essbase.cfg essbase. properties

    EPM_ORACLE_HOME\common\EssbaseRTC-21C\11.1.2.0\bin

    		 Ja Ja Ja Ja

    EPM_ORACLE_HOME\common\EssbaseJavaAPI-21C\11.1.2.0\bin

    		 Ja Ja Ja Ja

    ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\aps

    		 Ja Ja Ja Ja

    ESSBASE_DOMAIN_HOME\config\fmwconfig\essconfig\essbase

    		 Ja Ja Ja Ja

    MIDDLEWARE_HOME\essbase\products\Essbase\template_files\essbase

    		 Ja Ja Ja Ja

    MIDDLEWARE_HOME\essbase\products\Essbase\EssbaseServer\bin

    		 Ja Ja Ja Ja

    MIDDLEWARE_HOME\essbase\products\Essbase\aps\bin

    		 Ja Ja Ja Ja

    MIDDLEWARE_HOME\essbase\products\Essbase\eas

    		 Ja Ja Ja Ja

    MIDDLEWARE_HOME\essbase\common\EssbaseJavaAPI\bin

    		 Ja Ja Ja Ja
    Nur für Oracle Hyperion Financial Reporting

    EPM_ORACLE_HOME/products/financialreporting/bin/EssbaseJAPI/bin/

    Hinweis: In vollständigen SSL-Umgebungen ist in Financial Reporting der Essbase-Clustername zum Herstellen einer Verbindung erforderlich. Es können keine Verbindungen hergestellt werden, wenn der Hostname zum Verbinden verwendet wird.

    		 Ja Ja Ja Ja
    Nur für Oracle Hyperion Planning

    EPM_ORACLE_HOME/products/Planning/config/

    EPM_ORACLE_HOME/products/Planning/lib/

    		 Ja Ja Ja Ja

  4. Legen Sie die Umgebungsvariablen fest:

    • Windows: Erstellen Sie eine neue Systemvariable namens API_DISABLE_PEER_VERIFICATION, und setzen Sie ihren Wert auf 1.
    • Linux: Fügen Sie die Direktive API_DISABLE_PEER_VERIFICATION=1 in setCustomParamsPlanning.sh hinzu.

SSL-Eigenschaften von JAPI-Clients anpassen

Verschiedene Standardeigenschaften sind für die auf JAPI basierenden Essbase-Komponenten vordefiniert. Die Standardeigenschaften können überschrieben werden, indem Eigenschaften in die Datei essbase.properties eingefügt werden.

Hinweis:

Nur ein paar der in der folgenden Tabelle angegebenen SSL-Eigenschaften sind in der Datei essbase.properties externalisiert. Sie müssen die Eigenschaften hinzufügen, die nicht externalisiert sind.

So aktualisieren Sie SSL-Eigenschaften von JAPI-Clients:

  1. Öffnen Sie EPM_ORACLE_HOME/common/EssbaseJavaAPI-21C/11.2.0/bin/essbase.properties in einem Texteditor.
  2. Aktualisieren Sie Eigenschaften nach Bedarf. Eine Beschreibung der anpassbaren JAPI-Clienteigenschaften finden Sie in der folgenden Tabelle.

    Wenn eine gewünschte Eigenschaft nicht in der Datei essbase.properties enthalten ist, fügen Sie sie hinzu.

    Tabelle 2-7 SSL-Standardeigenschaften für JAPI-Clients

    Eigenschaft Beschreibung
    olap.server.ssl.alwaysSecure Legt den Modus fest, den Clients für alle Essbase-Instanzen verwenden sollen. Ändern Sie diesen Eigenschaftswert in true, um den SSL-Modus zu erzwingen.

    Standardwert: false
    olap.server.ssl.securityHandler Paketname für die Protokollverarbeitung. Sie können diesen Wert ändern, um einen anderen Handler anzugeben.

    Standardwert: java.protocol.handler.pkgs
    olap.server.ssl.securityProvider Oracle verwendet die Sun-SSL-Protokollimplementierung. Sie können diesen Wert ändern, um einen anderen Provider anzugeben.

    Standardwert: com.sun.net.ssl.internal.www.protocol
    olap.server.ssl.supportedCiphers Eine durch Komma getrennte Liste zusätzlicher Cipher, die für eine sichere Kommunikation aktiviert werden sollen. Sie dürfen nur Cipher angeben, die Essbase unterstützt.

    Beispiel: SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    olap.server.ssl.trustManagerClass Die TrustManager-Klasse zur Validierung des SSL-Zertifikats, indem die Signatur und das Ablaufdatum des Zertifikats geprüft werden.

    Standardmäßig ist diese Eigenschaft nicht festgelegt, um alle Verifizierungsprüfungen zu erzwingen.

    Wenn Verifizierungsprüfungen nicht erzwungen werden sollen, setzen Sie den Wert dieses Parameters auf com.essbase.services.olap.security.EssDefaultTrustManager. Hierbei handelt es sich um die TrustManager-Standardklasse, mit der alle Verifizierungsprüfungen erfolgreich ausgeführt werden können.

    Wenn Sie eine benutzerdefinierte TrustManager-Klasse implementieren möchten, geben Sie einen vollqualifizierten Klassennamen der TrustManager-Klasse an, mit der die Schnittstelle javax.net.ssl.X509TrustManager implementiert wird.

    Beispiel: com.essbase.services.olap.security.EssDefaultTrustManager
  3. Speichern und schließen Sie die Datei essbase.properties.
  4. Starten Sie alle Essbase-Komponenten neu.