Configuración de un servidor de HFM para usar conexiones SSL de base de datos

Adición del certificado de la base de datos al almacén de confianza en los servidores de HFM

Los siguientes pasos deben realizarse en todos los servidores de EPM en los que se ejecute el origen de datos de HFM. La variable de entorno %MW_HOME% que se usa más abajo es la ubicación de la instalación de Oracle Middleware. Esta variable de entorno no se crea de forma predeterminada durante la instalación de EPM, y se utiliza aquí para mostrar el directorio principal de la instalación de EPM.

La ubicación de la instalación de EPM se especifica mediante la variable de entorno EMP_ORACLE_HOME. En el siguiente ejemplo se coloca el almacén de claves y los almacenes de confianza en un directorio que comparte ubicación con la instalación de EPM, pero los archivos de almacén de claves y almacenes de confianza pueden estar en cualquier ubicación del sistema de archivos del servidor de HFM.

  1. Cree un nuevo directorio en %MW_HOME% para guardar el almacén de claves Java y el almacén de confianza PKCS12.
    1. cd %MW_HOME%
    2. mkdir certs
  2. Copie el cacerts del archivo de almacén de claves Java del JDK.
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      El motivo por el que se copia el almacén de claves del JDK y se utiliza esa copia en lugar del almacén de claves predeterminado del JDK es el siguiente: si se cambia la versión del JDK y se suprime la versión anterior, se perderán las claves y los certificados insertados en el almacén de claves predeterminado.

  3. Copie el certificado Base 64 en %MW_HOME%\certs.
  4. Importe el certificado en el archivo de almacén de claves Java testing_cacerts.
    1. Por ejemplo, keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"
      1. Deberá especificar la contraseña para el almacén de claves.
      2. Debe reemplazar "myserver" por el dominio completo del servidor de base de datos.
    2. Cuando se le pregunte si se debe confiar o no en el certificado, escriba y.
  5. Cree el almacén de confianza en formato PKCS12 a partir del archivo de almacén de claves Java del JDK. Por ejemplo: 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

Actualización de las conexiones JDBC de HFM para usar SSL

  1. Vuelva a configurar la conexión JDBC de base de datos de HFM para usar SSL.
    1. Inicie la herramienta de configuración de EPM.
      1. Seleccione los nodos Configurar base de datos y Desplegar en servidor de aplicaciones en el nodo Financial Management.
      2. Haga clic en Siguiente.
      3. Realice todos estos pasos para la conexión JDBC de HFM
        1. Introduzca el puerto SSL, el nombre del servicio, el nombre de usuario y la contraseña para la conexión en las columnas de puerto, nombre de servicio, nombre de usuario y contraseña.
        2. Haga clic en ( + ) para abrir las opciones avanzadas de base de datos.
        3. Seleccione la casilla de verificación Usar conexiones seguras.
        4. Introduzca la ubicación del almacén de claves Java creado en el paso 2.
        5. Haga clic en Aplicar.
        6. Haga clic en ( + ) para abrir las opciones avanzadas de base de datos.
        7. Haga clic en Editar y usar URL de JDBC modificada. Tenga en cuenta que no se deben hacer cambios en la URL de JDBC que se muestra.
        8. Haga clic en Aplicar.
        9. Haga clic en Siguiente.
    2. Realice los pasos restantes para desplegar la aplicación de HFM como se describe en la documentación de EPM.
  2. Abra un shell o una ventana de comandos para actualizar manualmente el registro de EPM de forma que la conexión de ODBC que utilice el origen de datos se pueda activar para SSL.

    Ejecute cada uno de los siguientes comandos:

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    En los ejemplos anteriores, la ruta C:\Oracle\Middleware es el valor de %MW_HOME% en los pasos 1, 2 y 3.

    La propiedad FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE solo debe definirse como false si se utiliza un certificado autofirmado. El valor de FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD debe ser la contraseña del almacén de claves Java original que se copió en el paso 2.

Actualización de la entrada de nombres TNS utilizada por HFM

Edite TNSNAMES.ORA para crear una nueva entrada y renombrar la entrada antigua. En el siguiente ejemplo se muestra un archivo TNSNAMES.ORA actualizado en el servidor de HFM con los cambios necesarios aplicados. Estos cambios se deben realizar porque HFM busca y utiliza una entrada de nombres TNS llamada HFMTNS. Es necesario cambiar el protocolo y el puerto de esta entrada para que XFMDataSource funcione correctamente.

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

La entrada HFMTNS original se ha renombrado como HFMTNS_UNENC. El nuevo valor HFMTNS se ha obtenido copiando HFMTNS_UNENC y renombrándolo como HFMTNS. Después se ha actualizado el protocolo a TCPS y cambiado el puerto a 1522. El puerto especificado debe ser el mismo puerto indicado en el archivo TNS LISTENER.ORA.