SSLデータベース接続を使用するためのHFMサーバーの構成

HFMサーバー上のトラストストアへのデータベースの証明書の追加

HFMデータソースが実行されている各EPMサーバーおよびすべてのEPMサーバーで、次の手順を実行する必要があります。下で使用されている%MW_HOME%環境変数は、Oracle Middlewareインストールの場所です。この環境変数は、デフォルトではEPMのインストール中に作成されず、ここではEPMインストールの親ディレクトリを示すために使用されています。

EPMインストールの場所は、EMP_ORACLE_HOME環境変数で指定します。下の例では、キーストアとトラストストアは、EPMインストールと同じ場所にあるディレクトリに配置されています。キーストア・ファイルとトラストストア・ファイルは、HFMサーバーのファイルシステム上の任意の場所に配置できます。

  1. %MW_HOME%の下に、JavaキーストアとPKCS12トラストストアを保管するための新しいディレクトリを作成します。
    1. cd %MW_HOME%
    2. mkdir certs
  2. JDKからJavaキーストア・ファイルcacertsをコピーします。
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      JDKのキーストアをコピーして、JDKのデフォルト・キーストアのかわりにそれを使用するのは、JDKがアップグレードされ、以前のJDKが削除された場合に、デフォルト・キーストアに挿入されたキーおよび証明書が失われるためです。

  3. Base 64証明書を%MW_HOME%\certsにコピーします。
  4. その証明書をJavaキーストア・ファイルtesting_cacertsにインポートします。
    1. たとえば、keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"のようにします
      1. キーストアのパスワードを指定する必要があります。
      2. "myserver"をデータベース・サーバーの完全修飾ドメインに置き換える必要があります。
    2. その証明書が信頼できるものであるかを尋ねるプロンプトが表示されたら、yを指定します。
  5. JDKのJavaキーストア・ファイルからPKCS12形式でトラストストアを作成します。次に例を示します。 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

SSLを使用するためのHFMのJDBC接続の更新

  1. SSLを使用するように、HFMデータベースのJDBC接続を再構成します。
    1. EPM構成ツールを起動します。
      1. 「Financial Management」ノードの下で「データベースの構成」ノードと「アプリケーション・サーバーへのデプロイ」ノードを選択します。
      2. 「次」をクリックします。
      3. HFMのJDBC接続について、次の各手順を実行します
        1. 「ポート」、「サービス名」、「ユーザー名」および「パスワード」列で、その接続について、SSLポート、サービス名、ユーザー名およびパスワードを入力します。
        2. ( + )をクリックして詳細設定データベース・オプションを開きます。
        3. 「セキュアな接続を使用」チェックボックスを選択します。
        4. 手順2で作成したJavaキーストアの場所を入力します。
        5. 「適用」をクリックします。
        6. ( + )をクリックして詳細設定データベース・オプションを開きます。
        7. 「変更されたJDBC URLの編集および使用」をクリックします。なお、表示されるJDBC URLに変更を加える必要はありません。
        8. 「適用」をクリックします。
        9. 「次」をクリックします。
    2. EPMドキュメントに記載されているとおりに、残りの手順を実行してHFMアプリケーションをデプロイします。
  2. コマンド・ウィンドウまたはシェルを開いて、そのデータソースによって使用されるODBC接続でSSLを有効にできるように、EPMレジストリを手動で更新します。

    次に示す各コマンドを実行します。

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    上の例では、パスC:\Oracle\Middlewareは、手順1、2および3での%MW_HOME%の値です。

    プロパティFINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATEは、自己署名付き証明書を使用している場合のみfalseに設定する必要があります。FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORDの値は、手順2でコピーした、元のJavaキーストアのパスワードである必要があります。

HFMによって使用されるTNS名エントリの更新

TNSNAMES.ORAを編集して新しいエントリを作成し、古いエントリの名前を変更します。次の例では、HFMサーバー上の、必要な変更が適用された、更新後のTNSNAMES.ORAファイルを示します。これらの変更を加えるのは、HFMによってHFMTNSという名前のTNS名エントリが検索され使用されるためです。XFMDataSourceが正しく機能するように、このエントリのプロトコルおよびポートを変更しておく必要があります。

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

元のHFMTNSエントリの名前は、HFMTNS_UNENCに変更されています。HFMTNS_UNENCエントリをコピーし、その名前をHFMTNSに変更することで、新しいHFMTNSが作成されました。次に、プロトコルがTCPSに更新され、ポートが1522に変更されました。指定されたポートは、TNS LISTENER.ORAファイル内で指定されているポートと同じである必要があります。