SSL para Essbase 11.1.2.4

Visão Geral

Esta seção explica os procedimentos para substituir os certificados padrão que são usados para proteger a comunicação entre uma instância do Oracle Essbase e componentes como o MaxL, Servidor do Oracle Essbase Administration Services, Servidor do Oracle Essbase Studio, Oracle Hyperion Provider Services, Oracle Hyperion Foundation Services, Oracle Hyperion Planning, Oracle Hyperion Financial Management e Oracle Hyperion Shared Services Registry.

Implantação Padrão

O Essbase pode ser implantado para funcionar nos modos de SSL e não SSL. O Agente do Essbase escuta em uma porta não segura; ele também pode ser configurado para escutar em uma porta segura. Todas as conexões que acessam a porta segura são tratadas como conexões SSL. Se um cliente se conectar ao Agente do Essbase na porta não SSL, a conexão será tratada como uma conexão não SSL. Os componentes podem estabelecer conexões simultâneas não SSL e SSL com um Agente do Essbase.

Você não pode controlar o SSL por sessão especificando o protocolo seguro e a porta quando faz logon. Consulte Como Estabelecer uma Conexão SSL por Sessão.

Se o SSL estiver habilitado, toda a comunicação em uma instância do Essbase será criptografada para garantir a segurança de dados.

As implantações padrão dos componentes do Essbase no modo seguro usam certificados autoassinados para habilitar a comunicação SSL, basicamente para fins de teste. A Oracle recomenda usar certificados de CAs de terceiros reconhecidas a fim de habilitar para SSL o Essbase em ambientes de produção.

Normalmente, um Oracle Wallet armazena o certificado que habilita a comunicação SSL com clientes que usam o Essbase RTC e um keystore Java armazena o certificado que habilita a comunicação SSL com componentes que utilizam JAPI para comunicação. Para estabelecer comunicação SSL, os clientes e ferramentas do Essbase armazenam o certificado raiz da CA que assinou os certificados do Servidor e Agente do Essbase. Consulte Certificados Necessários e Respectivo Local.

Certificados Necessários e Respectivo Local

A Oracle recomenda o uso de certificados de CAs de terceiros reconhecidas de modo a habilitar para SSL o Essbase em um ambiente de produção. Você pode usar os certificados autoassinados padrão para teste.

Nota:

O Essbase dá suporte ao uso de certificados curinga, que podem proteger vários subdomínios com um certificado SSL. Usar um certificado curinga pode reduzir o tempo e o custo de gerenciamento.

Os certificados curinga não poderão ser usados se a verificação do nome do host for habilitada.

Exija os seguintes certificados:

Um certificado da CA raiz.
Os componentes que usam o Essbase RTC para estabelecer uma conexão com o Essbase exigem que o certificado da CA raiz seja armazenado em um Oracle Wallet. Os componentes que usam JAPI para estabelecer uma conexão exigem que o certificado da CA raiz seja armazenado em um keystore Java. Os certificados necessários e seus locais são indicados na tabela a seguir.

Nota:

Talvez você não precise instalar um certificado da CA raiz se estiver usando certificados de uma CA de terceiros reconhecida cujo certificado raiz já está instalado no Oracle Wallet.
Certificado assinado para o Servidor do Essbase e o Agente do Essbase.

Tabela 2-1 Certificados Necessários e Respectivos Locais

Componente¹	Keystore	Certificado ²
MaxL	Oracle Wallet	Certificado da CA raiz
Servidor do Administration Services	Oracle Wallet	Certificado da CA raiz
Provider Services	Oracle Wallet	Certificado da CA raiz
Banco de Dados do Oracle Enterprise Performance Management System	Oracle Wallet	Certificado da CA raiz
Servidor do Essbase Studio	Keystore Java	Certificado da CA raiz
Planning	Oracle Wallet Keystore Java	Certificado da CA raiz
Financial Management	Keystore Java	Certificado da CA raiz
Essbase (Servidor e Agente) ³	Oracle Wallet Keystore Java	Certificado da CA raiz Certificado assinado para o Servidor e Agente do Essbase
Repositório do Oracle Hyperion Shared Services
¹ Você precisa apenas de uma instância do keystore para dar suporte a vários componentes que usam um keystore semelhante. ² Vários componentes podem usar um certificado raiz instalado em um keystore. ³ Os certificados devem ser instalados no Oracle Wallet padrão e no keystore Java.