SSL per Essbase 11.1.2.4
Panoramica
In questa sezione vengono illustrate le procedure per la sostituzione dei certificati predefiniti utilizzati per proteggere le comunicazioni tra un'istanza di Oracle Essbase e componenti quali MaxL, il server Oracle Essbase Administration Services, il server Oracle Essbase Studio, Oracle Hyperion Provider Services, Oracle Hyperion Foundation Services, Oracle Hyperion Planning, Oracle Hyperion Financial Management e Oracle Hyperion Shared Services Registry.
Distribuzione predefinita
È possibile distribuire Essbase in modo che funzioni in modalità SSL e non SSL. L'agente Essbase rimane in ascolto su una porta non sicura. Può essere configurato anche per rimanere in ascolto su una porta sicura. Tutte le connessioni che accedono alla porta sicura vengono gestite come connessioni SSL. Se un client si connette all'agente Essbase sulla porta non SSL, la connessione viene gestita come connessione non SSL. I componenti possono stabilire connessioni contemporanee non SSL e SSL con un agenteEssbase.
È possibile controllare SSL per ogni singola sessione specificando al momento dell'accesso il protocollo e la porta sicuri. Fare riferimento alla sezione Attivazione di una connessione SSL per la singola sessione.
Se è abilitata l'autenticazione SSL, tutte le comunicazioni nell'ambito di un'istanza Essbase vengono cifrate per garantire la sicurezza dei dati.
Nelle distribuzioni predefinite dei componenti di Essbase in modalità sicura vengono utilizzati certificati con firma automatica per abilitare le comunicazioni SSL, principalmente a scopo di test. Oracle consiglia di utilizzare certificati di CA di terze parti note per abilitare per SSL Essbase in ambienti di produzione.
In genere, in un Oracle Wallet viene memorizzato il certificato che abilita le comunicazioni SSL con i client che utilizzano Essbase RTC, mentre in un keystore Java viene memorizzato il certificato che abilita le comunicazioni SSL con componenti che utilizzano JAPI per le comunicazioni. Per stabilire comunicazioni SSL, i client e gli strumenti Essbase memorizzano il certificato radice della CA che ha firmato i certificati del server e dell'agente Essbase. Fare riferimento alla sezione Certificati richiesti e relativa posizione.
Certificati richiesti e relativa posizione
Oracle consiglia di utilizzare certificati di CA di terze parti note per abilitare per SSL Essbase in un ambiente di produzione. È possibile utilizzare i certificati con firma automatica predefiniti a scopo di test.
Nota:
Essbase supporta l'utilizzo di certificati con caratteri jolly, che possono proteggere più sottodomini con un certificato SSL. Utilizzando un certificato con caratteri jolly è possibile ridurre i tempi e i costi di gestione.
Non è possibile utilizzare i certificati con caratteri jolly se è abilitata la verifica del nome host.
Sono necessari i certificati elencati di seguito.
- Un certificato CA radice.
Per i componenti che utilizzano Essbase RTC per stabilire una connessione a Essbase, il certificato CA radice deve essere memorizzato nell'Oracle Wallet. Per i componenti che utilizzano JAPI per stabilire una connessione, il certificato CA radice deve essere memorizzato in un keystore Java. I certificati richiesti e le relative posizioni sono indicati nella tabella riportata di seguito.
Nota:
Potrebbe non essere necessario installare un certificato CA radice se si utilizzano certificati di una CA di terze parti nota il cui certificato radice è già installato nell'Oracle Wallet.
- Certificato firmato per il server Essbase e l'agente Essbase.
Tabella 2-1 Certificati richiesti e relative posizioni
| Componente1 | Keystore | Certificato 2 |
|---|---|---|
| MaxL | Oracle Wallet | Certificato CA radice |
| Server Administration Services | Oracle Wallet | Certificato CA radice |
| Provider Services | Oracle Wallet | Certificato CA radice |
| Database Oracle Enterprise Performance Management System | Oracle Wallet | Certificato CA radice |
| Server Essbase Studio | Keystore Java | Certificato CA radice |
| Planning |
|
Certificato CA radice |
| Financial Management | Keystore Java | Certificato CA radice |
| Essbase (server e agente) 3 |
|
|
| Repository Oracle Hyperion Shared Services | ||
|
1 È sufficiente una sola istanza del keystore per supportare più componenti che utilizzano un keystore simile. 2 Più componenti possono utilizzare un certificato radice installato in un keystore. 3 I certificati devono essere installati nell'Oracle Wallet predefinito e nel keystore Java. |
||