Création d'un portefeuille et installation d'un certificat pour Oracle HTTP Server
Un portefeuille par défaut est automatiquement installé avec Oracle HTTP Server. Vous devez configurer un véritable portefeuille pour chaque serveur Oracle HTTP dans votre déploiement
Remarque : à compter de la version 11.2.x, Oracle Wallet Manager n'est pas installé avec Oracle HTTP Server. Oracle Wallet Manager est installé uniquement si vous installez le client Oracle Database. Vous devez utiliser le gestionnaire de portefeuille disponible avec le client Database pour créer le portefeuille et importer le certificat. Si vous configurez Oracle HTTP Server pour SSL, veillez à toujours installer le client Oracle Database 64 bits dans le cadre de l'installation de vos produits EPM System.
Pour créer et installer le certificat Oracle HTTP Server, procédez comme suit :
Sur chaque ordinateur hébergeant Oracle HTTP Server, lancez Wallet Manager.
Sélectionnez Démarrer, Tous les programmes, Oracle-OHxxxxxx, puis Outils de gestion intégrés et Wallet Manager.
xxxxxx
est le numéro d'instance Oracle HTTP Server.
Créez un portefeuille vide.
Dans Oracle Wallet Manager, sélectionnez Portefeuille, puis Nouveau.
Cliquez sur Oui pour créer un répertoire de portefeuille par défaut ou sur Non pour créer le fichier de portefeuille à l'emplacement de votre choix.
Dans l'écran Nouveau portefeuille, dans Mot de passe de portefeuille et Confirmer le mot de passe, entrez le mot de passe que vous voulez utiliser.
Cliquez sur OK.
Dans la boîte de dialogue de confirmation, cliquez sur Non.
Facultatif : si vous n'utilisez pas un organisme de certification connu d'Oracle HTTP Server, importez le certificat CA racine dans le portefeuille.
Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur Certificats sécurisés et sélectionnez Importer un certificat sécurisé.
Recherchez et sélectionnez le certificat CA racine.
Sélectionnez Ouvrir.
Créez une demande de certificat.
Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur Certificat : [vide] et sélectionnez Ajouter une demande de certificat.
Dans Créer une demande de certificat, entrez les informations requises.
Pour le nom commun, entrez l'alias de serveur qualifié complet, par exemple, epm.myCompany.com
ou epminternal.myCompany.com
, disponibles dans le fichier hosts
de votre système.
Cliquez sur OK.
Dans la boîte de dialogue de confirmation, cliquez sur OK.
Cliquez avec le bouton droit de la souris sur la demande de certificat que vous avez créée, puis sélectionnez Exporter une demande de certificat.
Spécifiez un nom pour le fichier de demande de certificat.
A l'aide des fichiers de demande de certificat, obtenez les certificats signés auprès de l'organisme de certification.
Importez les certificats signés.
Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur la demande de certificat utilisée pour obtenir le certificat signé, puis sélectionnez Importer un certificat utilisateur.
Dans Importer un certificat, cliquez sur OK pour importer le certificat à partir d'un fichier.
Dans Importer un certificat, sélectionnez le fichier de certificat, puis cliquez sur Ouvrir.
Enregistrez le portefeuille à un emplacement qui vous convient, par exemple, EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem
.
Sélectionnez Portefeuille, puis Connexion automatique pour activer la connexion automatique.
Configuration d'un portefeuille Oracle à l'aide d'ORAPKI (sous Linux)
Pour configurer un portefeuille Oracle à l'aide de la ligne de commande ORAPKI, procédez comme suit :
$ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
$ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
>$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_loginCette commande vous invite à entrer à deux reprises un mot de passe de portefeuille si aucun mot de passe n'a été spécifié sur la ligne de commande. Elle crée un portefeuille à l'emplacement indiqué pour
-wallet
.$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]
Activation SSL d'Oracle HTTP Server
Après avoir reconfiguré le serveur Web sur chaque ordinateur hébergeant Oracle HTTP Server, mettez à jour le fichier de configuration d'Oracle HTTP Server en remplaçant l'emplacement du portefeuille par défaut par l'emplacement du portefeuille que vous avez créé.
Pour configurer Oracle HTTP Server pour SSL, procédez comme suit :
Reconfigurez le serveur Web sur chaque ordinateur hôte Oracle HTTP Server dans votre déploiement.
Démarrez le configurateur EPM System pour l'instance.
Dans l'écran de sélection des tâches de configuration, effectuez les tâches suivantes, puis cliquez sur Suivant.
Effacez la sélection dans Désélectionner tout.
Développez le groupe de tâches Hyperion Foundation, puis sélectionnez Configurer le serveur Web.
Dans Configurer le serveur Web, cliquez sur Suivant.
Dans Confirmation, cliquez sur Suivant.
Dans Récapitulatif, cliquez sur Terminer.
A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf
.
Assurez-vous que le port SSL que vous utilisez est répertorié sous OHS Listen port
de la manière suivante :
Si vous utilisez 19443
en tant que port de communication SSL, vous devez obtenir les entrées suivantes :
Listen 19443
Définissez la valeur de paramètre SSLSessionCache
sur none
.
Mettez à jour les paramètres de configuration de chaque serveur Oracle HTTP Server dans votre déploiement.
A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf
.
Recherchez la directive SSLWallet
et modifiez sa valeur de sorte qu'elle pointe vers le portefeuille dans lequel vous avez installé le certificat. Si vous avez créé le portefeuille dans EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem
, il se peut que votre directive SSLWallet
soit la suivante :
SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"
Enregistrez et fermez ssl.conf
.
Mettez à jour mod_wl_ohs.conf
sur chaque serveur Oracle HTTP Server dans votre déploiement.
A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf
.
Assurez-vous que la directive WLSSLWallet
pointe vers le portefeuille Oracle dans lequel le certificat SSL est stocké.
WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet
Par exemple, C:/Oracle/Middleware/ohs/bin/wallets/myWallet
Définissez la valeur de SecureProxy
sur ON
.
SecureProxy ON
Assurez-vous que les définitions LocationMatch
pour les composants Oracle Enterprise Performance Management System déployés sont semblables à l'exemple Oracle Hyperion Shared Services suivant, qui suppose l'existence d'un cluster Oracle WebLogic Server (sur myserver1
et myserver2
à l'aide du port SSL 28443) :
<LocationMatch /interop/> SetHandler weblogic-handler pathTrim / WeblogicCluster myServer1:28443,myServer2:28443 WLProxySSL ON </LocationMatch>
Enregistrez et fermez mod_wl_ohs.conf
.