SSL per Essbase 21c

Panoramica

In questa sezione vengono illustrate le procedure per sostituire i certificati predefiniti utilizzati per proteggere le comunicazioni tra un'istanza di Oracle Essbase e componenti quali MaxL, il server Oracle Essbase Administration Services, Oracle Hyperion Provider Services, Oracle Hyperion Foundation Services, Oracle Hyperion Planning, Oracle Hyperion Financial Management e Oracle Hyperion Shared Services Registry.

Nota:

  • In Essbase Administration Services (EAS) Lite non viene utilizzata la porta SSL del server HTTP (ad esempio la 443) configurata utilizzando EPM Configurator. L'URL protetto nel file easconsole.jnlp rimanda per impostazione predefinita alla porta non SSL (80).

    Soluzione alternativa: sostituire la porta non SSL predefinita nell'URL protetto identificato in easconsole.jnlpcon l'URL protetto aggiornato:

    URL protetto predefinito: https://myserver:SECURE_PORT/easconsole/console.html. Esempio, https://myserver:80/easconsole/console.html

    URL protetto aggiornato: https://myserver:SECURE_PORT/easconsole/console.html. Esempio, https://myserver:443/easconsole/console.html

    Per ulteriori informazioni, consultare l'articolo di My Oracle Support (MOS) - ID documento 1926558.1 - Porta SSL non inclusa nel file easconsole.jnlp di EAS Web Console .

  • La connessione di Planning a Essbase potrebbe non funzionare se il protocollo SSL per EPM viene impostato in un ambiente Windows.

    Soluzione alternativa: aggiungere il percorso cartella riportato di seguito alla variabile di ambiente di sistema PATH del server in cui è installato Planning.

    EPM_ORACLE_HOME\bin21C

Distribuzione predefinita

È possibile distribuire Essbase in modo che funzioni in modalità SSL e non SSL. L'agente Essbase rimane in ascolto su una porta non sicura. Può essere configurato anche per rimanere in ascolto su una porta sicura. Tutte le connessioni che accedono alla porta sicura vengono gestite come connessioni SSL. Se un client si connette all'agente Essbase sulla porta non SSL, la connessione viene gestita come connessione non SSL. I componenti possono stabilire connessioni contemporanee non SSL e SSL con un agenteEssbase.

È possibile controllare SSL per ogni singola sessione specificando al momento dell'accesso il protocollo e la porta sicuri. Fare riferimento alla sezione Attivazione di una connessione SSL per la singola sessione.

Se è abilitata l'autenticazione SSL, tutte le comunicazioni nell'ambito di un'istanza Essbase vengono cifrate per garantire la sicurezza dei dati.

Nelle distribuzioni predefinite dei componenti di Essbase in modalità sicura vengono utilizzati certificati con firma automatica per abilitare le comunicazioni SSL, principalmente a scopo di test. Oracle consiglia di utilizzare certificati di CA di terze parti note per abilitare per SSL Essbase in ambienti di produzione.


Distribuzione sicura concettuale

In genere, in un Oracle Wallet viene memorizzato il certificato che abilita le comunicazioni SSL con i client che utilizzano Essbase RTC, mentre in un keystore Java viene memorizzato il certificato che abilita le comunicazioni SSL con componenti che utilizzano JAPI per le comunicazioni. Per stabilire comunicazioni SSL, i client e gli strumenti Essbase memorizzano il certificato radice della CA che ha firmato i certificati del server e dell'agente Essbase.

Certificati richiesti e relativa posizione

Oracle consiglia di utilizzare certificati di CA di terze parti note per abilitare per SSL Essbase in un ambiente di produzione. È possibile utilizzare i certificati con firma automatica predefiniti a scopo di test.

Nota:

Essbasesupporta i certificati supportati da OpenSSL.

Sono necessari i certificati elencati di seguito.

  • Un certificato CA radice.

    Per i componenti che utilizzano Essbase RTC per stabilire una connessione a Essbase, il certificato CA radice deve essere memorizzato nell'Oracle Wallet. Per i componenti che utilizzano JAPI per stabilire una connessione, il certificato CA radice deve essere memorizzato in un keystore Java. I certificati richiesti e le relative posizioni sono indicati nella tabella riportata di seguito.

    Nota:

    Potrebbe non essere necessario installare un certificato CA radice se si utilizzano certificati di una CA di terze parti nota il cui certificato radice è già installato nell'Oracle Wallet.

  • Certificato firmato per il server Essbase e l'agente Essbase.

Tabella 2-4 Certificati richiesti e relative posizioni

Componente1 Keystore Certificato 2
MaxL Oracle Wallet Certificato CA radice
Server Administration Services Oracle Wallet Certificato CA radice
Provider Services Oracle Wallet Certificato CA radice
Database Oracle Enterprise Performance Management System Oracle Wallet Certificato CA radice
Planning
  • Oracle Wallet
  • Keystore Java
 Certificato CA radice
Financial Management Keystore Java Certificato CA radice
Essbase (server e agente) 3
  • Oracle Wallet
  • Keystore Java
  • Certificato CA radice
  • Certificato firmato per server e agente Essbase
Repository Oracle Hyperion Shared Services    

1 È sufficiente una sola istanza del keystore per supportare più componenti che utilizzano un keystore simile.

2 Più componenti possono utilizzare un certificato radice installato in un keystore.

3 I certificati devono essere installati nell'Oracle Wallet predefinito e nel keystore Java.