Uso de certificados CA de terceros de confianza para Essbase

Creación de solicitudes de certificados y obtención de certificados

Genere una solicitud de certificado para obtener un certificado para el servidor que aloja el servidor de Oracle Essbase y el agente de Essbase. Una solicitud de certificado contiene información cifrada específica de su nombre distintivo (DN). Usted envía la solicitud del certificado a una autoridad de firma para obtener un certificado SSL.

Utilice una herramienta como keytool u Oracle Wallet Manager para crear una solicitud de certificado. Para obtener información detallada sobre la creación de una solicitud de certificado, consulte la documentación de la herramienta que esté usando.

Si está usando keytool, use un comando como el siguiente para crear una solicitud de certificado:

keytool -certreq -alias essbase_ssl -file C:/certs/essabse_server_csr -keypass password -storetype jks -keystore C:\oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password

Obtención e instalación del certificado de CA raíz

El certificado de CA raíz verifica la validez del certificado que se usa para soportar SSL. Contiene la clave pública con la que se hace coincidir la clave privada que se ha usado para verificar el certificado. Puede obtener el certificado de CA raíz de la autoridad de certificación que haya firmado sus certificados SSL.

Instale el certificado raíz de la CA que haya firmado el certificado de servidor de Essbase en clientes que conecten al servidor o al agente de Essbase. Asegúrese de que el certificado raíz esté instalado en el almacén de claves adecuado para el cliente. Consulte Certificados necesarios y su ubicación.

Nota:

Varios componentes pueden usar un certificado CA raíz instalado en un equipo de servidor.

Oracle Wallet

Consulte la Certificados necesarios y su ubicación para obtener una lista de los componentes que exigen el certificado raíz de CA en una instancia de Oracle Wallet. Puede crear una cartera o instalar el certificado en la cartera de demostración donde esté instalado el certificado autofirmado predeterminado.

Consulte la documentación de Oracle Wallet Manager para obtener procedimientos detallados para crear carteras e importar el certificado de CA raíz.

Almacén de claves Java

Consulte la Certificados necesarios y su ubicación para obtener una lista de los componentes que exigen el certificado de CA raíz en un almacén de claves Java. Puede agregar el certificado en el almacén de claves donde esté instalado el certificado autofirmado predeterminado o crear un almacén de claves para almacenar el certificado.

Nota:

Los certificados de CA raíz de muchas de las CA de terceros conocidas ya están instalados en el almacén de claves de Java.

Consulte la documentación de la herramienta que esté usando para obtener instrucciones detalladas. Si está usando keytool, use un comando, como el siguiente, para importar el certificado raíz:

keytool -import -alias blister_CA -file c:/certs/CA.crt -keypass
password -trustcacerts -keystore C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl
\keystore -storepass password

Instalación de certificados firmados

Usted instala los certificados SSL firmados en el servidor que aloja el servidor de Essbase y el agente de Essbase. Los componentes que usen Essbase RTC (API de C) para establecer una conexión al servidor o al agente de Essbase necesitan que el certificado se almacene en una instancia de Oracle Wallet con el certificado de CA raíz. Los componentes que usen JAPI para establecer una conexión al servidor o al agente de Essbase necesitan que el certificado de CA raíz y el certificado SSL firmado se almacene en un almacén de claves Java. Para conocer los procedimientos detallados, consulte estas fuentes de información:

  • Documentación de Oracle Wallet Manager
  • Documentación o ayuda en línea de la herramienta, por ejemplo, keytool, que usa para importar el certificado

Si está usando keytool, use un comando, como el siguiente, para importar el certificado

keytool -import -alias essbase_ssl -file C:/certs/essbase_ssl_crt -keypass password -keystore
 C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password

Actualización de los valores del registro del servidor de Essbase

Windows

  1. En un símbolo del sistema, cambie el directorio a EPM_ORACLE_INSTANCE/epmsystem1/bin.
  2. Ejecute estos comandos para actualizar el Registro de Windows:

    epmsys_registry.bat updateproperty "#<Object ID>/@EnableSecureMode" true

    epmsys_registry.bat updateproperty "#<Object ID>/@EnableClearMode" false

    Asegúrese de sustituir <Object ID> por el ID de componente del servidor de Essbase, el cual está disponible en el informe del registro que se genera al completar el proceso de configuración del servidor de Essbase.

Linux

  1. En una consola, cambie el directorio a EPM_ORACLE_INSTANCE/epmsystem1/bin.
  2. Ejecute estos comandos para actualizar el registro:

    epmsys_registry.sh updateproperty "#<Object ID>/@EnableSecureMode" true

    epmsys_registry.sh updateproperty "#<Object ID>/@EnableClearMode" false

    Asegúrese de sustituir <Object ID> por el ID de componente del servidor de Essbase, el cual está disponible en el informe del registro que se genera al completar el proceso de configuración del servidor de Essbase.

Actualización de la configuración Essbase de Essbase

Puede personalizar la configuración de SSL para el servidor y los clientes de Essbase especificando valores para ellos en essbase.cfg.

  • Configuración para activar el modo seguro
  • Configuración para activar el modo Clear
  • Modo preferido para comunicarse con los clientes (solo usado por los clientes)
  • Puerto seguro
  • Conjuntos de cifrado
  • Ruta de Oracle Wallet

Nota:

En essbase.cfg, asegúrese de agregar los parámetros necesarios que falten, en concreto, EnableSecureMode y AgentSecurePort, y establezca sus valores.

Para actualizar essbase.cfg:

  1. Copie la cartera de Oracle con certificados para el servidor de Essbase en EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/wallet.

    Esta es la única ubicación de Oracle Wallet que es aceptable para el servidor de Essbase.

  2. Con un editor de texto, abra EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg.
  3. Introduzca la configuración según sea necesario. Se usa de forma implícita la configuración predeterminada de Essbase. Si necesita cambiar el comportamiento predeterminado, agregue la configuración para el comportamiento personalizado en essbase.cfg. Por ejemplo, EnableClearMode se aplica de forma predeterminada, por el que se activa el servidor de Essbase para comunicarse a través de un canal no cifrado. Para desactivar la disponibilidad del servidor de Essbase a través de un canal no cifrado, debe especificar EnableClearMode FALSE en essbase.cfg. Consulte la siguiente tabla.

    Tabla 2-2 Configuración de SSL de Essbase

    Valor Descripción1
    EnableClearMode2 Activa la comunicación sin cifrado entre las aplicaciones de Essbase y el agente de Essbase. Si esta propiedad está establecida en FALSE, Essbase no gestiona solicitudes que no sean SSL.

    Valor predeterminado: EnableClearMode TRUE

    Ejemplo: EnableClearMode FALSE
    EnableSecureMode Activa la comunicación cifrada de SSL entre el cliente de Essbase y el agente de Essbase. Esta propiedad se debe establecer en TRUE para soportar SSL.

    Valor predeterminado: FALSE

    Ejemplo: EnableSecureMode TRUE
    SSLCipherSuites Lista de conjuntos de cifrado, en orden de preferencia, que usar para la comunicación SSL. El agente de Essbase usa uno de los conjuntos de cifrado para la comunicación SSL. Al primer conjunto de cifrado se le asigna la máxima prioridad cuando el agente elige un conjunto de cifrado.

    Valor predeterminado: SSL_RSA_WITH_RC4_128_MD5

    Ejemplo: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    APSRESOLVER URL de Oracle Hyperion Provider Services. Si utiliza varios servidores de Provider Services, separe cada URL con un punto y coma.

    Ejemplo: APSRESOLVER https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps
    AgentSecurePort

    Puerto seguro en el que escucha el agente.

    Valor predeterminado: 6423

    Ejemplo: AgentSecurePort 16001
    WalletPath Ubicación de la instancia de Oracle Wallet (menos de 1.024 caracteres) que almacena el certificado de la CA raíz y del certificado firmado.

    Valor predeterminado: ARBORPATH/bin/wallet

    Ejemplo: WalletPath/usr/local/wallet
    ClientPreferredMode3 Modo (Secure o Clear) para la sesión de cliente. Si esta propiedad está establecida en Secure, se usa el modo SSL para todas las sesiones.

    Si esta propiedad se establece en Clear, se elige el transporte en función de si la solicitud de inicio de sesión del cliente contiene la palabra clave de transporte seguro. Consulte Establecimiento de una conexión SSL por sesión.

    Valor predeterminado: CLEAR

    Ejemplo: ClientPreferredMode SECURE

    1 El valor predeterminado se aplica si estas propiedades no están disponibles en essbase.cfg.

    2 Essbase deja de estar operativo si EnableClearMode y EnableSecureMode se definen como FALSE.

    3 Los clientes usan esta opción para determinar si se debe establecer una conexión segura o no segura con Essbase.
  4. Guarde y cierre essbase.cfg.

Actualización de nodos de Essbase distribuidos para SSL

Nota:

Esta sección se aplica solamente a despliegues distribuidos de Essbase

Asegúrese de que la carpeta de la cartera (por ejemplo, WalletPath/usr/local/wallet) que contiene el certificado de autoridad de certificación raíz y el certificado firmado se encuentra en la ubicación necesaria en cada nodo distribuido.

  1. Copie la carpeta de la cartera a estas ubicaciones en cada nodo distribuido:
    • EPM_ORACLE_HOME/common/EssbaseRTC/11.1.2.0/bin
    • EPM_ORACLE_HOME/common/EssbaseRTC-64/11.1.2.0/bin
  2. Copie la carpeta de la cartera a estas ubicaciones, si están presentes, en cada nodo distribuido:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer-32/bin
    • EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin
  3. Copie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg a estas ubicaciones en cada nodo distribuido:
    • EPM_ORACLE_HOME/common/EssbaseRTC/11.1.2.0/bin
    • EPM_ORACLE_HOME/common/EssbaseRTC-64/11.1.2.0/bin
  4. Copie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg a estas ubicaciones, si están presentes, en cada nodo distribuido:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseServer-32/bin
    • EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin
  5. Copie la carpeta de la cartera a estas ubicaciones de instalación de cliente de Essbase en cada nodo distribuido:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient-32/bin
  6. Copie EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfg a estas ubicaciones de instalación de cliente de Essbase en cada nodo distribuido:
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient/bin
    • EPM_ORACLE_HOME/products/Essbase/EssbaseClient-32/bin
  7. Agregue estas propiedades al archivo essbase.properties:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=http[s]://host:httpsPort/aps

      Asegúrese de sustituir este valor por la URL pertinente.

    Actualice el archivo essbase.properties en estas ubicaciones, si están presentes, en cada nodo distribuido:

    • EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.2.0/bin/essbase.properties
    • EPM_ORACLE_HOME/products/Essbase/aps/bin/essbase.properties
    • EPM_ORACLE_INSTANCE/aps/bin/essbase.properties
  8. Copie EPM_ORACLE_HOME/products/Essbase/aps/bin/essbase.properties en el directorio EPM_ORACLE_HOME/products/Essbase/eas, si está disponible, en cada nodo distribuido.
  9. Solo para Oracle Hyperion Planning: agregue estas tres propiedades al archivo essbase.properties:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=APS_URL

      Sustituya APS_URL por la URL de Provider Services. Si utiliza varios servidores de Provider Services, separe cada URL con un punto y coma. Por ejemplo, https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps.

      Debe actualizar el archivo essbase.properties en estas ubicaciones en cada nodo distribuido:

      • EPM_ORACLE_HOME/products/Planning/config/essbase.properties
      • EPM_ORACLE_HOME/products/Planning/lib/essbase.properties
  10. Solo para Oracle Hyperion Financial Reporting: agregue estas tres propiedades al archivo EPM_ORACLE_HOME/products/financialreporting/bin/EssbaseJAPI/bin/essbase.properties:
    • essbase.ssleverywhere=true
    • olap.server.ssl.alwaysSecure=true
    • APSRESOLVER=APS_URL

      Sustituya APS_URL por la URL de Provider Services. Si utiliza varios servidores de Provider Services, separe cada URL con un punto y coma. Por ejemplo, https://exampleAPShost1:PORT/aps;https://exampleAPShost2:PORT/aps.

    Nota:

    En entornos de Secure Sockets Layer, Financial Reporting necesita el nombre de cluster de Essbase para establecer la conexión. Se produce un fallo en la conexión si se utiliza el nombre de host para conectar.
    1. Defina las variables de entorno:
      • Windows: Cree una nueva variable de sistema llamada API_DISABLE_PEER_VERIFICATION y establezca su valor en 1.
      • Linux: Agregue la directiva API_DISABLE_PEER_VERIFICATION=1 en setCustomParamsPlanning.sh.
    2. Agregue la directiva API_DISABLE_PEER_VERIFICATION=1 en EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/setEssbaseenv.bat o EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/setEssbaseenv.sh.
    Defina variables de entorno:

Personalización de las propiedades SSL de clientes de JAPI

Hay varias propiedades predeterminadas predefinidas para los componentes de Essbase que se basan en JAPI. Las propiedades predeterminadas se pueden sustituir mediante la inclusión de propiedades en essbase.properties.

Nota:

Solo unas pocas propiedades SSL identificadas en la siguiente tabla se externalizan en essbase.properties. Debe agregar las propiedades que no estén externalizadas.

Para actualizar las propiedades SSL de los clientes de JAPI:

  1. Con un editor de texto, abra EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.1.2.0/bin/essbase.properties.
  2. Actualice las propiedades según sea necesario. Consulte la tabla siguiente para consultar una descripción de las propiedades de cliente JAPI personalizable.

    Si no se ha incluido una propiedad que desee en essbase.properties, agréguela.

    Tabla 2-3 Propiedades de SSL predeterminadas para clientes de JAPI

    Propiedad Descripción
    olap.server.ssl.alwaysSecure Establece el modo que deben usar los clientes en todas las instancias de Essbase. Cambie el valor de esta propiedad a true para aplicar el modo SSL.

    Valor predeterminado: false
    olap.server.ssl.securityHandler Nombre de paquete para gestionar el protocolo. Puede cambiar este valor para indicar otro identificador.

    Valor predeterminado: java.protocol.handler.pkgs
    olap.server.ssl.securityProvider Oracle utiliza la implantación del protocolo SSL de Sun. Puede cambiar este valor para indicar otro proveedor.

    Valor predeterminado: com.sun.net.ssl.internal.www.protocol
    olap.server.ssl.supportedCiphers Lista separada por comas de cifrados adicionales que se van a activar para una comunicación segura. Debe especificar solo cifrados que soporte Essbase.

    Ejemplo: SSL_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_AES_256_GCM_SHA384
    olap.server.ssl.trustManagerClass La clase TrustManager que usar para validar el certificado SSL mediante la verificación de la firma y la comprobación de la fecha de caducidad del certificado.

    De manera predeterminada, esta propiedad no se establece para aplicar todas las comprobaciones de verificación.

    Para no aplicar comprobaciones de verificación, establezca el valor de este parámetro en com.essbase.services.olap.security.EssDefaultTrustManager, que es la clase TrustManager predeterminada que permite que todas las comprobaciones de validación sean correctas.

    Para implantar una clase TrustManager personalizada, especifique un nombre de clase completo de la clase TrustManager que implante la interfaz javax.net.ssl.X509TrustManager.

    Ejemplo:com.essbase.services.olap.security.EssDefaultTrustManager
  3. Guarde y cierre essbase.properties.
  4. Reinicie todos los componentes de Essbase.