Visão Geral
Esta seção explica os procedimentos para substituir os certificados padrão que são usados para proteger a comunicação entre uma instância do Oracle Essbase e componentes como o MaxL, Servidor do Oracle Essbase Administration Services, Servidor do Oracle Essbase Studio, Oracle Hyperion Provider Services, Oracle Hyperion Foundation Services, Oracle Hyperion Planning, Oracle Hyperion Financial Management e Oracle Hyperion Shared Services Registry.
Implantação Padrão
O Essbase pode ser implantado para funcionar nos modos de SSL e não SSL. O Agente do Essbase escuta em uma porta não segura; ele também pode ser configurado para escutar em uma porta segura. Todas as conexões que acessam a porta segura são tratadas como conexões SSL. Se um cliente se conectar ao Agente do Essbase na porta não SSL, a conexão será tratada como uma conexão não SSL. Os componentes podem estabelecer conexões simultâneas não SSL e SSL com um Agente do Essbase.
Você não pode controlar o SSL por sessão especificando o protocolo seguro e a porta quando faz logon. Consulte Como Estabelecer uma Conexão SSL por Sessão.
Se o SSL estiver habilitado, toda a comunicação em uma instância do Essbase será criptografada para garantir a segurança de dados.
As implantações padrão dos componentes do Essbase no modo seguro usam certificados autoassinados para habilitar a comunicação SSL, basicamente para fins de teste. A Oracle recomenda usar certificados de CAs de terceiros reconhecidas a fim de habilitar para SSL o Essbase em ambientes de produção.
Normalmente, um Oracle Wallet armazena o certificado que habilita a comunicação SSL com clientes que usam o Essbase RTC e um keystore Java armazena o certificado que habilita a comunicação SSL com componentes que utilizam JAPI para comunicação. Para estabelecer comunicação SSL, os clientes e ferramentas do Essbase armazenam o certificado raiz da CA que assinou os certificados do Servidor e Agente do Essbase. Consulte Certificados Necessários e Respectivo Local.
Certificados Necessários e Respectivo Local
A Oracle recomenda o uso de certificados de CAs de terceiros reconhecidas de modo a habilitar para SSL o Essbase em um ambiente de produção. Você pode usar os certificados autoassinados padrão para teste.
Nota:
O Essbase dá suporte ao uso de certificados curinga, que podem proteger vários subdomínios com um certificado SSL. Usar um certificado curinga pode reduzir o tempo e o custo de gerenciamento.
Os certificados curinga não poderão ser usados se a verificação do nome do host for habilitada.
Exija os seguintes certificados:
Os componentes que usam o Essbase RTC para estabelecer uma conexão com o Essbase exigem que o certificado da CA raiz seja armazenado em um Oracle Wallet. Os componentes que usam JAPI para estabelecer uma conexão exigem que o certificado da CA raiz seja armazenado em um keystore Java. Os certificados necessários e seus locais são indicados na tabela a seguir.
Nota:
Talvez você não precise instalar um certificado da CA raiz se estiver usando certificados de uma CA de terceiros reconhecida cujo certificado raiz já está instalado no Oracle Wallet.
Tabela 2-1 Certificados Necessários e Respectivos Locais
Componente1 | Keystore | Certificado 2 |
---|---|---|
MaxL | Oracle Wallet | Certificado da CA raiz |
Servidor do Administration Services | Oracle Wallet | Certificado da CA raiz |
Provider Services | Oracle Wallet | Certificado da CA raiz |
Banco de Dados do Oracle Enterprise Performance Management System | Oracle Wallet | Certificado da CA raiz |
Servidor do Essbase Studio | Keystore Java | Certificado da CA raiz |
Planning |
|
Certificado da CA raiz |
Financial Management | Keystore Java | Certificado da CA raiz |
Essbase (Servidor e Agente) 3 |
|
|
Repositório do Oracle Hyperion Shared Services | ||
1 Você precisa apenas de uma instância do keystore para dar suporte a vários componentes que usam um keystore semelhante. 2 Vários componentes podem usar um certificado raiz instalado em um keystore. 3 Os certificados devem ser instalados no Oracle Wallet padrão e no keystore Java. |