Configuração do servidor HFM para usar conexões de banco de dados SSL

Adição do certificado do banco de dados ao armazenamento confiável no(s) servidor(es) HFM

As etapas seguintes devem ser realizadas em cada um dos servidores EPM em que a origem de dados do HFM é executada. A variável de ambiente %MW_HOME% usada abaixo é o local de instalação do Oracle Middleware. Esta variável de ambiente não é criada por padrão durante a instalação do EPM e é usada aqui para mostrar o diretório pai da instalação do EPM.

O local da instalação do EPM é especificado pela variável de ambiente EMP_ORACLE_HOME. O exemplo abaixo coloca o keystore e o armazenamento confiável em um diretório colocalizado com a instalação do EPM. Os arquivos de keystore e armazenamento confiável podem estar localizados em qualquer lugar no sistema de arquivos do servidor HFM.

  1. Crie um novo diretório em %MW_HOME% para armazenar o Java keystore e o armazenamento confiável PKCS12.
    1. cd %MW_HOME%
    2. mkdir certs
  2. Copie o cacerts do arquivo do Java keystore a partir do JDK.
    1. cd %MW_HOME%\certs
    2. copy %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      O motivo pelo qual você copia o keystore do JDK e o utiliza em lugar do keystore padrão do JDK é para que, se o JDK for atualizado e o JDK anterior for excluído, as chaves e certificados inseridos no keystore padrão não sejam perdidos.

  3. Copie o certificado Base 64 para %MW_HOME%\certs.
  4. Importe o certificado para o arquivo Java keystore testing_cacerts.
    1. Por exemplo: keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"
      1. Você precisará especificar a senha para o keystore.
      2. Você deve substituir "myserver" pelo domínio totalmente qualificado do servidor do banco de dados.
    2. Quando você for perguntado se o certificado é confiável ou não, especifique y.
  5. Crie o armazenamento confiável no formato PKCS12 a partir do arquivo Java keystore do JDK. Por exemplo, 
    keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

Atualizando as conexões JDBC do HFM para usar SSL

  1. Reconfigure a conexão JDBC do banco de dados HFM para usar SSL.
    1. Inicie a ferramenta de Configuração do EPM.
      1. Selecione os nós Configurar Banco de Dados e Implantar no Servidor de Aplicativos subordinados ao nó Financial Management.
      2. Clique em Próximo.
      3. Execute estas etapas para a conexão JDBC do HFM
        1. Insira a porta SSL, o nome de serviço, o nome de usuário e a senha para a conexão nas colunas porta, nome de serviço, nome de usuário e senha.
        2. Clique em ( + ) para abrir as opções de banco de dados Avançadas.
        3. Marque a caixa de seleção Usar conexões seguras.
        4. Insira a localização do Java keystore criada na Etapa 2.
        5. Clique em Aplicar.
        6. Clique em ( + ) para abrir as opções de banco de dados Avançadas.
        7. Clique em Editar e usar URL JDBC modificado. Note que nenhuma alteração deve ser feita ao URL JDBC exibido.
        8. Clique em Aplicar.
        9. Clique em Próximo.
    2. Siga as etapas restantes para implantar o aplicativo HFM conforme descrito na documentação do EPM.
  2. Abra uma janela de comando ou shell para atualizar manualmente o registro do EPM para que a conexão ODBC usada pelo DataSource possa ser habilitada para SSL.

    Execute cada um dos comandos relacionados abaixo:

    epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
\Oracle\Middleware\certs\testing_cacerts.pfx"
epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
/@ODBC_VALIDATESERVERCERTIFICATE false

    Nos exemplos acima, o caminho C:\Oracle\Middleware é o valor de %MW_HOME% nas etapas 1, 2 e 3.

    A propriedade FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE só deve ser definida como falsa se um certificado autoassinado estiver sendo usado. O valor do FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD deve ser a senha do Java keystore original copiado na Etapa 2.

Atualize a entrada dos nomes TNS usados por HFM

Edite TNSNAMES.ORA para criar uma nova entrada e renomear a entrada antiga. O exemplo a seguir mostra um arquivo TNSNAMES.ORA atualizado no servidor HFM que possui as alterações necessárias aplicadas. Essas alterações acontecem por que o HFM procura e usa uma entrada de nomes TNS chamada HFMTNS. Essa entrada deve ter o protocolo e a porta altrados para que o XFMDataSource funcione adequadamente.

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

A entrada HFMTNS original foi renomeada para HFMTNS_UNENC. O novo HFMTNS foi criado copiando a entrada HFMTNS_UNENC, renomeando-a para HFMTNS. O protocolo foi então atualizado para TCPS e a porta foi alterada para 1522. A porta especificada deve ser a mesma porta especificada no arquivo TNS LISTENER.ORA.