Procedure di Oracle HTTP Server

Creazione di un wallet e installazione del certificato per Oracle HTTP Server

Con Oracle HTTP Server viene installato automaticamente un wallet predefinito. È necessario configurare un vero wallet per ciascuna istanza di Oracle HTTP Server nella propria distribuzione.

Nota: a partire dalla versione 11.2.x, Oracle Wallet Manager non viene installato con Oracle HTTP Server. Oracle Wallet Manager viene installato solo se si installa il client di Oracle Database. È necessario utilizzare Wallet Manager disponibile con il client di Database per creare il wallet e importare il certificato. Se si sta configurando Oracle HTTP Server per SSL, installare sempre il client di Oracle Database a 64 bit come parte dell'installazione dei prodotti di EPM System.

Per creare e installare il certificato di Oracle HTTP Server, procedere come segue.

  1. In ogni computer che ospita Oracle HTTP Server, avviare Wallet Manager.

    Fare clic su Start, quindi scegliere Tutti i programmi, Oracle-OHxxxxxx, Strumenti di gestione integrata e infine Wallet Manager.

    xxxxxx è il numero di istanza di Oracle HTTP Server.

  2. Creare un nuovo wallet vuoto.

    1. In Oracle Wallet Manager, selezionare Wallet e quindi Nuovo.

    2. Fare clic su per creare una directory wallet predefinita oppure su No per creare il file wallet in una posizione a propria scelta.

    3. In Password wallet e Conferma password nella schermata Nuovo wallet immettere la password che si desidera utilizzare.

    4. Fare clic su OK.

    5. Nella finestra di dialogo di conferma, fare clic su No.

  3. Facoltativo: se non si utilizza una CA nota a Oracle HTTP Server, importare il certificato CA radice nel wallet.

    1. In Oracle Wallet Manager, fare clic con il pulsante destro del mouse su Certificati protetti e scegliere Importa certificato protetto.

    2. Sfogliare e selezionare il certificato CA radice.

    3. Selezionare Apri.

  4. Creare una richiesta di certificato.

    1. In Oracle Wallet Manager, fare clic con il pulsante destro del mouse su Certificato: [Vuoto] e scegliere Aggiungi richiesta certificato.

    2. In Crea richiesta di certificato, immettere le informazioni richieste.

      Come nome comune, immettere l'alias di server completo, ad esempio epm.myCompany.com oppure epminternal.myCompany.com, disponibile nel file hosts nel sistema.

    3. Fare clic su OK.

    4. Nella finestra di dialogo di conferma, fare clic su OK.

    5. Fare clic con il pulsante destro del mouse sulla richiesta di certificato creata e quindi scegliere Esporta richiesta certificato.

    6. Specificare un nome per il file di richiesta di certificato.

  5. Utilizzando i file di richiesta di certificato, ottenere dalla CA i certificati firmati.

  6. Importare i certificati firmati.

    1. In Oracle Wallet Manager, fare clic con il pulsante destro del mouse sulla richiesta di certificato utilizzata per ottenere il certificato firmato e quindi scegliere Importa certificato utente.

    2. In Importa certificato, fare clic su OK per importare il certificato da un file.

    3. In Importa certificato, selezionare il file di certificato e quindi fare clic su Apri.

  7. Salvare il wallet in una posizione appropriata, ad esempio EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem.

  8. Selezionare Wallet e quindi Login automatico per attivare l'accesso automatico.

Impostazione di Oracle Wallet utilizzando ORAPKI (su Linux)

Per configurare Oracle Wallet utilizzando la riga di comando ORAPKI, completare i passi riportati di seguito.

  1. Creare una cartella per il wallet. 
    $ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
  2. Aggiungere la posizione dell'utilità orapki al percorso. 
    $ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
  3. Creare un wallet per conservare il certificato. 
    >$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login
    Se non è stata specificata alcuna password nella riga di comando, questo comando richiede di inserire e reinserire una password per il wallet. Crea un wallet nella posizione specificata per -wallet.
  4. Generare una richiesta di firma di certificato (CSR) e aggiungerla al wallet. 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
  5. Aggiungere un certificato radice e intermedio nel keystore attendibile 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
  6. Utilizzare la CA (Autorità di certificazione) per firmare la CSR (Richiesta di firma del certificato). Per esportare la richiesta di certificato da un Oracle Wallet procedere come riportato di seguito. 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
  7. Importare la CSR firmata nel wallet. 
        $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
  8. Per visualizzare i contenuti del wallet procedere come riportato di seguito. 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]

Abilitazione del protocollo SSL per Oracle HTTP Server

Dopo aver riconfigurato il server Web in ogni computer che ospita Oracle HTTP Server, aggiornare il file di configurazione di Oracle HTTP Server sostituendo la posizione del wallet predefinito con la posizione del wallet creato.

Per configurare Oracle HTTP Server per SSL, procedere come segue.

  1. Riconfigurare il server Web in ogni computer host Oracle HTTP Server presente nella distribuzione.

  2. Avviare EPM System Configurator per l'istanza.

  3. Nella schermata di selezione dei task di configurazione, eseguire questi passi e quindi fare clic su Avanti.

    1. Rimuovere il segno di spunta da Deseleziona tutto.

    2. Espandere il gruppo di task Hyperion Foundation e quindi selezionare Configura Web server.

  4. In Configura Web server, fare clic su Avanti.

  5. In Conferma, fare clic su Avanti.

  6. In Riepilogo, fare clic su Fine.

  7. Aprire EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf con un editor di testo.

  8. Assicurarsi che la porta SSL in uso sia elencata sotto OHS Listen port, come indicato di seguito.

    Se si utilizza 19443 come porta di comunicazione SSL, dovrebbe venire visualizzato quanto segue:

    Listen 19443

  9. Impostare il valore del parametro SSLSessionCache su none.

  10. Aggiornare le impostazioni di configurazione di ogni istanza di Oracle HTTP Server nella distribuzione.

    1. Aprire EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf con un editor di testo.

    2. Individuare la direttiva SSLWallet e modificarne il valore in modo che punti al wallet in cui è stato installato il certificato. Se il wallet è stato creato in EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem, la direttiva SSLWallet potrebbe essere simile alla seguente:

      SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"

    3. Salvare e chiudere ssl.conf.

  11. Aggiornare mod_wl_ohs.conf in ogni istanza di Oracle HTTP Server nella distribuzione.

    1. Aprire EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf con un editor di testo.

    2. Assicurarsi che la direttiva WLSSLWallet punti all'Oracle Wallet in cui è memorizzato il certificato SSL.

      WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet

      Ad esempio, C:/Oracle/Middleware/ohs/bin/wallets/myWallet

    3. Impostare il valore della direttiva SecureProxy su ON.

      SecureProxy ON

    4. Assicurarsi che le definizioni LocationMatch dei componenti di Oracle Enterprise Performance Management System distribuiti siano simili all'esempio di Oracle Hyperion Shared Services riportato di seguito, in cui si presuppone l'esistenza di un cluster Oracle WebLogic Server (in myserver1 e myserver2 con la porta SSL 28443):

      <LocationMatch /interop/>
    SetHandler weblogic-handler
    pathTrim /
    WeblogicCluster myServer1:28443,myServer2:28443
    WLProxySSL ON
</LocationMatch>

    5. Salvare e chiudere mod_wl_ohs.conf.