Configuration du serveur HFM de sorte à utiliser des connexions de base de données SSL

Ajout du certificat de base de données au truststore sur les serveurs HFM

Les étapes suivantes doivent être effectuées sur chaque serveur EPM sur lequel est exécutée la source de données HFM. La variable d'environnement %MW_HOME% utilisée ci-dessous est l'emplacement de l'installation Oracle Middleware. Cette variable d'environnement n'est pas créée par défaut lors de l'installation d'EPM et est utilisée ici pour montrer le répertoire parent de cette dernière.

L'emplacement de l'installation EPM est indiqué par la variable d'environnement EMP_ORACLE_HOME. L'exemple ci-dessous place le fichier de clés d'accès et le truststore dans un répertoire situé au même emplacement que l'installation EPM. Les fichiers de clés d'accès et de truststore peuvent se trouver n'importe où sur le système de fichiers du serveur HFM.

  1. Créez un répertoire sous %MW_HOME% pour stocker le fichier de clés d'accès Java et le truststore PKCS12.
    1. cd %MW_HOME%
    2. mkdir certs
  2. Copiez les certificats CA de fichier de clé d'accès Java à partir du JDK.
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      Il faut copier le fichier de clés d'accès du JDK et l'utiliser à la place du fichier de clés d'accès par défaut du JDK, car si le JDK est mis à niveau et que le précédent JDK est supprimé, les clés et les certificats insérés dans le fichier de clés d'accès par défaut seront perdus.

  3. Copiez le certificat Base64 vers %MW_HOME%\certs.
  4. Importez le certificat dans le fichier de clés d'accès Java testing_cacerts.
    1. Par exemple, keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver".
      1. Vous devrez indiquer le mot de passe du fichier de clés d'accès.
      2. Vous devez remplacer "myserver" par le nom de domaine qualifié complet du serveur de base de données.
    2. Lorsque vous êtes invité à indiquer si le certificat doit être sécurisé, spécifiez y.
  5. Créez le truststore au format PKCS12 à partir du fichier de clés d'accès Java du JDK. Par exemple : 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

Mise à jour des connexions JDBC HFM pour utiliser SSL

  1. Reconfigurez la connexion JDBC de base de données HFM pour utiliser SSL.
    1. Lancez l'outil de configuration EPM.
      1. Sélectionnez les noeuds Configurer la base de données et Déployer vers le serveur d'applications sous le noeud Financial Management.
      2. Cliquez sur Suivant.
      3. Effectuez chacune des étapes suivantes pour la connexion JDBC HFM :
        1. Saisissez le port SSL, le nom du service, le nom d'utilisateur et le mot de passe pour la connexion dans les colonnes correspondantes.
        2. Cliquez sur ( + ) pour ouvrir les options de base de données avancées.
        3. Cochez la case Utiliser des connexions sécurisées.
        4. Saisissez l'emplacement du fichier de clés d'accès Java créé lors de l'étape 2.
        5. Cliquez sur Appliquer.
        6. Cliquez sur ( + ) pour ouvrir les options de base de données avancées.
        7. Cliquez sur Modifier l'URL JDBC et l'utiliser. Aucune modification ne doit être apportée à l'URL JDBC affichée.
        8. Cliquez sur Appliquer.
        9. Cliquez sur Suivant.
    2. Effectuez les étapes restantes pour déployer l'application HFM telles que décrites dans la documentation EPM.
  2. Ouvrez une fenêtre de commande ou un interpréteur de commandes pour mettre à jour manuellement le registre EPM de sorte que la connexion ODBC utilisée par la source de données puisse être compatible SSL.

    Exécutez chaque commande répertoriée ci-dessous :

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    Dans les exemples ci-dessus, le chemin C:\Oracle\Middleware correspond à la valeur de %MW_HOME% dans les étapes 1, 2 et 3.

    La propriété FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE ne doit être définie sur False que si un certificat auto-signé est utilisé. La valeur de FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD doit être le mot de passe du fichier de clés d'accès Java d'origine copié à l'étape 2.

Mise à jour de l'entrée de noms TNS utilisée par HFM

Modifiez TNSNAMES.ORA pour créer une entrée et renommez l'ancienne entrée. L'exemple suivant montre un fichier TNSNAMES.ORA mis à jour sur le serveur HFM auquel les modifications nécessaires ont été appliquées. Ces modifications ont été apportées car HFM recherche et utilise une entrée de noms TNS nommée HFMTNS. Le protocole et le port de cette entrée doivent être modifiés pour que XFMDataSource fonctionne correctement.

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

L'entrée d'origine HFMTNS a été renommée en HFMTNS_UNENC. La nouvelle entrée HFMTNS a été réalisée en copiant l'entrée HFMTNS_UNENC et en la renommant HFMTNS. Le protocole a ensuite été mis à jour sur TCPS et le port a été remplacé par 1522. Le port indiqué doit être le même que celui indiqué dans le fichier TNS LISTENER.ORA.