Essbase 21c用SSL

概要

この項では、Oracle Essbaseインスタンスとコンポーネント(MaxL、Oracle Essbase Administration Servicesサーバー、Oracle Hyperion Provider ServicesOracle Hyperion Foundation ServicesOracle Hyperion PlanningOracle Hyperion Financial ManagementおよびOracle Hyperion Shared Servicesレジストリなど)の間の通信の保護に使用されるデフォルト証明書を置き換える手順を説明します。

注:

Essbase Administration Services (EAS) Liteは、EPMコンフィグレータを使用して構成されたHTTPサーバーSSLポート(たとえば443)を使用しません。easconsole.jnlpファイルのセキュアURLは、非SSLポート(80)がデフォルトになります。

回避策: easconsole.jnlpで識別されるセキュアURLのデフォルトの非SSLポートを更新されたセキュアURLで置き換えます:

デフォルトのセキュアURL: https://myserver:SECURE_PORT/easconsole/console.html。たとえば、https://myserver:80/easconsole/console.htmlのようになります

更新されたセキュアURL: https://myserver:SECURE_PORT/easconsole/console.html。たとえば、https://myserver:443/easconsole/console.htmlのようになります

詳細は、My Oracle Support (MOS)の記事 - ドキュメントID 1926558.1 - SSLポートがEAS Webコンソールのeasconsole.jnlpに含まれないを参照してください。

デフォルトのデプロイメント

Essbaseは、SSLモードおよび非SSLモードで機能するようデプロイできます。Essbaseエージェントは、セキュアでないポートでリスニングしますが、セキュアなポートでリスニングするよう構成することもできます。セキュアなポートにアクセスするすべての通信はSSL接続として処理されます。クライアントがEssbaseエージェントに非SSLポートで接続すると、接続は非SSL接続として処理されます。コンポーネントは、Essbaseエージェントに対して非SSL接続とSSL接続を同時に確立できます。

ログイン時にセキュアなプロトコルとポートを指定することで、セッションごとにSSLを制御できます。セッションごとのSSL接続の確立を参照してください。

SSLが使用可能な場合、Essbaseインスタンス内の通信はすべて暗号化され、データのセキュリティが確保されます。

セキュアなモードでのEssbaseコンポーネントのデフォルトのデプロイメントでは、主にテストを目的とする場合は、自己署名の証明書を使用してSSL通信を使用可能にします。本番環境でEssbaseSSL使用可能にするには、よく知られたサードパーティCAから発行された証明書を使用することをお薦めします。


概念上のセキュアなデプロイメント

通常、Oracle Walletに、Essbase RTCを使用するクライアントとのSSL通信を使用可能にする証明書が保管され、Javaキーストアに、通信にJAPIを利用するコンポーネントとのSSL通信を使用可能にする証明書が保管されます。SSL通信を確立するために、Essbaseクライアントとツールは、Essbaseサーバーおよびエージェントの証明書に署名したCAのルート証明書を保管します。

必要な証明書とその場所

本番環境でEssbaseSSL使用可能にするには、よく知られたサードパーティCAから発行された証明書を使用することをお薦めします。デフォルトの自己署名付き証明書は、テスト目的で使用します。

注:

Essbaseでは、1つのSSL証明書で複数のサブドメインをセキュアにできるワイルドカード証明書の使用をサポートしています。ワイルドカード証明書を使用すると、管理の時間とコストを削減できます。

ホスト名チェックが有効な場合、ワイルドカード証明書は使用できません。

次の証明書が必要です:

  • ルートCA証明書。

    Essbase RTCを使用してEssbaseとの接続を確立するコンポーネントの場合、ルートCA証明書をOracle Walletに保管する必要があります。JAPIを使用して接続を確立するコンポーネントの場合、ルートCA証明書をJavaキーストアに保管する必要があります。必要な証明書とその場所を次の表に示します。

    注:

    ルート証明書がOracle Walletにすでにインストールされた、よく知られたサードパーティCAからの証明書を使用している場合、ルートCA証明書をインストールする必要はありません。

  • EssbaseサーバーとEssbaseエージェント用の署名付き証明書。

表2-4 必要な証明書とその場所

コンポーネント1 キーストア 証明書2
MaxL Oracle Wallet ルートCA証明書
Administration Servicesサーバー Oracle Wallet ルートCA証明書
Provider Services Oracle Wallet ルートCA証明書
Oracle Enterprise Performance Management Systemデータベース Oracle Wallet ルートCA証明書
Planning
  • Oracle Wallet
  • Javaキーストア
 ルートCA証明書
Financial Management Javaキーストア ルートCA証明書
Essbase (サーバーおよびエージェント) 3
  • Oracle Wallet
  • Javaキーストア
  • ルートCA証明書
  • Essbaseサーバーとエージェント用の署名付き証明書
Oracle Hyperion Shared Servicesリポジトリ    

1 同様のキーストアを使用する複数のコンポーネントのサポートには、1つのキーストアのインスタンスのみ必要です。

2 複数のコンポーネントで、キーストアにインストールされているルート証明書を使用できます。

3 証明書を、デフォルトのOracle WalletおよびJavaキーストアにインストールする必要があります。