Configurazione del server HFM per l'utilizzo delle connessioni al database SSL

Aggiunta del certificato del database al truststore sul server o sui server HFM

È necessario effettuare le operazioni riportate di seguito su ogni singolo server EPM su cui viene eseguita l'origine dati HFM. La variabile di ambiente %MW_HOME% utilizzata di seguito corrisponde al percorso di installazione di Oracle Middleware. Questa variabile di ambiente non viene creata per impostazione predefinita durante l'installazione EPM e viene utilizzata qui per indicare la directory padre dell'installazione EPM.

La variabile di ambiente EMP_ORACLE_HOME indica la posizione dell'installazione EPM. Nell'esempio che segue, il keystore e i truststore sono in una directory che si trova nella stessa posizione dell'installazione EPM. I file keystore e truststore possono trovarsi in qualunque posizione nel file system del server HFM.

  1. Creare una nuova directory in %MW_HOME% dove memorizzare il keystore Java e il truststore PKCS12.
    1. cd %MW_HOME%
    2. mkdir certs
  2. Copiare il file keystore Java cacerts dal JDK.
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      È opportuno copiare e utilizzare il keystore del JDK piuttosto che il keystore predefinito del JDK perché se il JDK viene aggiornato e il precedente JDK viene eliminato, le chiavi e i certificati inseriti nel keystore predefinito andranno persi.

  3. Copiare il certificato Base64 in %MW_HOME%\certs.
  4. Importare il certificato nel file keystore Java testing_cacerts.
    1. Ad esempio, keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"
      1. Sarà necessario specificare la password per il keystore.
      2. Sostituire "myserver" con il dominio completamente qualificato del server database.
    2. Quando viene chiesto di indicare se il certificato deve essere ritenuto sicuro, specificare y.
  5. Creare il truststore in formato PKCS12 dal file keystore Java del JDK. Ad esempio: 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

Aggiornamento delle connessioni JDBC di HFM per l'utilizzo di SSL

  1. Riconfigurare la connessione JDBC del database HFM per l'utilizzo di SSL.
    1. Avviare lo strumento di configurazione EPM.
      1. Selezionare i nodi Configura database e Distribuisci su server applicazioni nel nodo Financial Management.
      2. Fare clic su Avanti.
      3. Effettuare ognuna di queste operazioni per la connessione JDBC di HFM
        1. Nelle colonne Porta, Nome servizio, Nome utente e Password, specificare la porta SSL, il nome del servizio, il nome utente e la password della connessione.
        2. Fare clic su ( + ) per aprire le opzioni database avanzate.
        3. Selezionare la casella di controllo Usa connessioni sicure.
        4. Specificare la posizione del keystore Java creato nel Passo 2.
        5. Fare clic su Applica.
        6. Fare clic su ( + ) per aprire le opzioni database avanzate.
        7. Fare clic su Modifica e usa URL JDBC modificato. Non apportare modifiche all'URL JDBC visualizzato.
        8. Fare clic su Applica.
        9. Fare clic su Avanti.
    2. Completare la procedura necessaria per distribuire l'applicazione HFM come descritto nella documentazione EPM.
  2. Aprire una finestra dei comandi o una shell per aggiornare manualmente il registro EPM in modo che la connessione ODBC utilizzata dall'origine dati possa essere abilitata per SSL.

    Eseguire ognuno dei comandi riportati in basso:

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    Negli esempi riportati sopra, il percorso C:\Oracle\Middleware è il valore di %MW_HOME% nei passi 1, 2 e 3.

    Se si utilizza un certificato autofirmato, impostare la proprietà FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE su False. Il valore di FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD deve essere la password del keystore Java originale copiato nel Passo 2.

Aggiornare la voce relativa ai nomi TNS utilizzata da HFM

Modificare TNSNAMES.ORA per creare una nuova voce e assegnare un nuovo nome alla voce precedente. Nell'esempio che segue viene riportata la versione aggiornata del file TNSNAMES.ORA presente sul server HFM a cui sono state applicate le modifiche necessarie. Sono state apportate queste modifiche perché HFM cerca e utilizza una voce relativa ai nomi TNS che si chiama HFMTNS. Affinché XFMDataSource possa funzionare correttamente, è necessario modificare il protocollo e la porta della voce.

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

La versione originale della voce HFMTNS è stata rinominata HFMTNS_UNENC. La nuova versione della voce HFMTNS è stata creata copiando la voce HFMTNS_UNENC e rinominandola HFMTNS. A questo punto, il protocollo è stato aggiornato in TCPS e la porta è stata modificata in 1522. È necessario che la porta specificata sia la stessa porta specificata nel file TNS LISTENER.ORA.