Procédures Oracle HTTP Server

Création d'un portefeuille et installation d'un certificat pour Oracle HTTP Server

Un portefeuille par défaut est automatiquement installé avec Oracle HTTP Server. Vous devez configurer un véritable portefeuille pour chaque serveur Oracle HTTP dans votre déploiement

Remarque : à compter de la version 11.2.x, Oracle Wallet Manager n'est pas installé avec Oracle HTTP Server. Oracle Wallet Manager est installé uniquement si vous installez le client Oracle Database. Vous devez utiliser le gestionnaire de portefeuille disponible avec le client Database pour créer le portefeuille et importer le certificat. Si vous configurez Oracle HTTP Server pour SSL, veillez à toujours installer le client Oracle Database 64 bits dans le cadre de l'installation de vos produits EPM System.

Pour créer et installer le certificat Oracle HTTP Server, procédez comme suit :

  1. Sur chaque ordinateur hébergeant Oracle HTTP Server, lancez Wallet Manager.

    Sélectionnez Démarrer, Tous les programmes, Oracle-OHxxxxxx, puis Outils de gestion intégrés et Wallet Manager.

    xxxxxx est le numéro d'instance Oracle HTTP Server.

  2. Créez un portefeuille vide.

    1. Dans Oracle Wallet Manager, sélectionnez Portefeuille, puis Nouveau.

    2. Cliquez sur Oui pour créer un répertoire de portefeuille par défaut ou sur Non pour créer le fichier de portefeuille à l'emplacement de votre choix.

    3. Dans l'écran Nouveau portefeuille, dans Mot de passe de portefeuille et Confirmer le mot de passe, entrez le mot de passe que vous voulez utiliser.

    4. Cliquez sur OK.

    5. Dans la boîte de dialogue de confirmation, cliquez sur Non.

  3. Facultatif : si vous n'utilisez pas un organisme de certification connu d'Oracle HTTP Server, importez le certificat CA racine dans le portefeuille.

    1. Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur Certificats sécurisés et sélectionnez Importer un certificat sécurisé.

    2. Recherchez et sélectionnez le certificat CA racine.

    3. Sélectionnez Ouvrir.

  4. Créez une demande de certificat.

    1. Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur Certificat : [vide] et sélectionnez Ajouter une demande de certificat.

    2. Dans Créer une demande de certificat, entrez les informations requises.

      Pour le nom commun, entrez l'alias de serveur qualifié complet, par exemple, epm.myCompany.com ou epminternal.myCompany.com, disponibles dans le fichier hosts de votre système.

    3. Cliquez sur OK.

    4. Dans la boîte de dialogue de confirmation, cliquez sur OK.

    5. Cliquez avec le bouton droit de la souris sur la demande de certificat que vous avez créée, puis sélectionnez Exporter une demande de certificat.

    6. Spécifiez un nom pour le fichier de demande de certificat.

  5. A l'aide des fichiers de demande de certificat, obtenez les certificats signés auprès de l'organisme de certification.

  6. Importez les certificats signés.

    1. Dans Oracle Wallet Manager, cliquez avec le bouton droit de la souris sur la demande de certificat utilisée pour obtenir le certificat signé, puis sélectionnez Importer un certificat utilisateur.

    2. Dans Importer un certificat, cliquez sur OK pour importer le certificat à partir d'un fichier.

    3. Dans Importer un certificat, sélectionnez le fichier de certificat, puis cliquez sur Ouvrir.

  7. Enregistrez le portefeuille à un emplacement qui vous convient, par exemple, EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem.

  8. Sélectionnez Portefeuille, puis Connexion automatique pour activer la connexion automatique.

Configuration d'un portefeuille Oracle à l'aide d'ORAPKI (sous Linux)

Pour configurer un portefeuille Oracle à l'aide de la ligne de commande ORAPKI, procédez comme suit :

  1. Créez un dossier pour votre portefeuille :
    $ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
    
  2. Ajoutez l'emplacement de l'utilitaire orapki à votre chemin :
    $ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
  3. Créez un portefeuille pour stocker votre certificat :
    >$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login
    Cette commande vous invite à entrer à deux reprises un mot de passe de portefeuille si aucun mot de passe n'a été spécifié sur la ligne de commande. Elle crée un portefeuille à l'emplacement indiqué pour -wallet.
  4. Générez une demande de signature de certificat et ajoutez-la à votre portefeuille :
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
  5. Ajoutez les certificats racine et intermédiaire au fichier de clés d'accès sécurisé :
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
  6. Utilisez votre organisme de certification pour signer la demande de signature de certificat. Pour exporter la demande de certificat à partir d'un portefeuille Oracle, utilisez la commande suivante :
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
  7. Importez la demande de signature de certificat signée dans le portefeuille :
        $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
    
  8. Pour afficher le contenu du portefeuille, utilisez la commande suivante :
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]

Activation SSL d'Oracle HTTP Server

Après avoir reconfiguré le serveur Web sur chaque ordinateur hébergeant Oracle HTTP Server, mettez à jour le fichier de configuration d'Oracle HTTP Server en remplaçant l'emplacement du portefeuille par défaut par l'emplacement du portefeuille que vous avez créé.

Pour configurer Oracle HTTP Server pour SSL, procédez comme suit :

  1. Reconfigurez le serveur Web sur chaque ordinateur hôte Oracle HTTP Server dans votre déploiement.

  2. Démarrez le configurateur EPM System pour l'instance.

  3. Dans l'écran de sélection des tâches de configuration, effectuez les tâches suivantes, puis cliquez sur Suivant.

    1. Effacez la sélection dans Désélectionner tout.

    2. Développez le groupe de tâches Hyperion Foundation, puis sélectionnez Configurer le serveur Web.

  4. Dans Configurer le serveur Web, cliquez sur Suivant.

  5. Dans Confirmation, cliquez sur Suivant.

  6. Dans Récapitulatif, cliquez sur Terminer.

  7. A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf.

  8. Assurez-vous que le port SSL que vous utilisez est répertorié sous OHS Listen port de la manière suivante :

    Si vous utilisez 19443 en tant que port de communication SSL, vous devez obtenir les entrées suivantes :

    Listen 19443
  9. Définissez la valeur de paramètre SSLSessionCache sur none.

  10. Mettez à jour les paramètres de configuration de chaque serveur Oracle HTTP Server dans votre déploiement.

    1. A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf.

    2. Recherchez la directive SSLWallet et modifiez sa valeur de sorte qu'elle pointe vers le portefeuille dans lequel vous avez installé le certificat. Si vous avez créé le portefeuille dans EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem, il se peut que votre directive SSLWallet soit la suivante :

      SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"
    3. Enregistrez et fermez ssl.conf.

  11. Mettez à jour mod_wl_ohs.conf sur chaque serveur Oracle HTTP Server dans votre déploiement.

    1. A l'aide d'un éditeur de texte, ouvrez EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf.

    2. Assurez-vous que la directive WLSSLWallet pointe vers le portefeuille Oracle dans lequel le certificat SSL est stocké.

      WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet

      Par exemple, C:/Oracle/Middleware/ohs/bin/wallets/myWallet

    3. Définissez la valeur de SecureProxy sur ON.

      SecureProxy ON
    4. Assurez-vous que les définitions LocationMatch pour les composants Oracle Enterprise Performance Management System déployés sont semblables à l'exemple Oracle Hyperion Shared Services suivant, qui suppose l'existence d'un cluster Oracle WebLogic Server (sur myserver1 et myserver2 à l'aide du port SSL 28443) :

      <LocationMatch /interop/>
          SetHandler weblogic-handler
          pathTrim /
          WeblogicCluster myServer1:28443,myServer2:28443
          WLProxySSL ON
      </LocationMatch>
    5. Enregistrez et fermez mod_wl_ohs.conf.