SSL para Essbase 21c

Visão Geral

Esta seção explica os procedimentos para substituir os certificados padrão usados para proteger a comunicação entre uma instância do Oracle Essbase e componentes como MaxL, Servidor do Oracle Essbase Administration Services, Oracle Hyperion Provider Services, Oracle Hyperion Foundation Services, Oracle Hyperion Planning, Oracle Hyperion Financial Management e Oracle Hyperion Shared Services Registry.

Nota:

  • O Essbase Administration Services (EAS) Lite não usa a porta do HTTP Server SSL (443, por exemplo) configurada com o EPM Configurator. O URL seguro no arquivo easconsole.jnlp é definido como a porta não-SSL (80) como padrão.

    Solução alternativa: Substitua a porta não-SSL padrão no URL seguro identificado em easconsole.jnlp pelo URL seguro atualizado:

    URL Seguro Padrão: https://myserver:SECURE_PORT/easconsole/console.html. Por exemplo: https://myserver:80/easconsole/console.html

    URL Seguro Atualizado: https://myserver:SECURE_PORT/easconsole/console.html. Por exemplo: https://myserver:443/easconsole/console.html

    Veja o artigo do My Oracle Support (MOS) - Doc ID 1926558.1 - Porta SSL Não Inclusa em easconsole.jnlp do Console Web do EAS para mais informações.

  • A conexão do Planning ao Essbase poderá não funcionar se SSL estiver configurado para o EPM em um ambiente do Windows.

    Solução alternativa: Adicione o seguinte caminho de pasta para a variável de ambiente do sistema PATH no servidor no qual o Planning está instalado.

    EPM_ORACLE_HOME\bin21C

Implantação Padrão

O Essbase pode ser implantado para funcionar nos modos de SSL e não SSL. O Agente do Essbase escuta em uma porta não segura; ele também pode ser configurado para escutar em uma porta segura. Todas as conexões que acessam a porta segura são tratadas como conexões SSL. Se um cliente se conectar ao Agente do Essbase na porta não SSL, a conexão será tratada como uma conexão não SSL. Os componentes podem estabelecer conexões simultâneas não SSL e SSL com um Agente do Essbase.

Você não pode controlar o SSL por sessão especificando o protocolo seguro e a porta quando faz logon. Consulte Como Estabelecer uma Conexão SSL por Sessão.

Se o SSL estiver habilitado, toda a comunicação em uma instância do Essbase será criptografada para garantir a segurança de dados.

As implantações padrão dos componentes do Essbase no modo seguro usam certificados autoassinados para habilitar a comunicação SSL, basicamente para fins de teste. A Oracle recomenda usar certificados de CAs de terceiros reconhecidas a fim de habilitar para SSL o Essbase em ambientes de produção.


Uma implantação segura conceitual

Normalmente, um Oracle Wallet armazena o certificado que habilita a comunicação SSL com clientes que usam o Essbase RTC e um keystore Java armazena o certificado que habilita a comunicação SSL com componentes que utilizam JAPI para comunicação. Para estabelecer comunicação SSL, os clientes e ferramentas do Essbase armazenam o certificado raiz da CA que assinou os certificados do Servidor e Agente do Essbase.

Certificados Necessários e Respectivo Local

A Oracle recomenda o uso de certificados de CAs de terceiros reconhecidas de modo a habilitar para SSL o Essbase em um ambiente de produção. Você pode usar os certificados autoassinados padrão para teste.

Nota:

O Essbase oferece suporte para certificados compatíveis com OpenSSL.

Exija os seguintes certificados:

  • Um certificado da CA raiz.

    Os componentes que usam o Essbase RTC para estabelecer uma conexão com o Essbase exigem que o certificado da CA raiz seja armazenado em um Oracle Wallet. Os componentes que usam JAPI para estabelecer uma conexão exigem que o certificado da CA raiz seja armazenado em um keystore Java. Os certificados necessários e seus locais são indicados na tabela a seguir.

    Nota:

    Talvez você não precise instalar um certificado da CA raiz se estiver usando certificados de uma CA de terceiros reconhecida cujo certificado raiz já está instalado no Oracle Wallet.

  • Certificado assinado para o Servidor do Essbase e o Agente do Essbase.

Tabela 2-4 Certificados Necessários e Respectivos Locais

Componente1 Keystore Certificado 2
MaxL Oracle Wallet Certificado da CA raiz
Servidor do Administration Services Oracle Wallet Certificado da CA raiz
Provider Services Oracle Wallet Certificado da CA raiz
Banco de Dados do Oracle Enterprise Performance Management System Oracle Wallet Certificado da CA raiz
Planning
  • Oracle Wallet
  • Keystore Java
 Certificado da CA raiz
Financial Management Keystore Java Certificado da CA raiz
Essbase (Servidor e Agente) 3
  • Oracle Wallet
  • Keystore Java
  • Certificado da CA raiz
  • Certificado assinado para o Servidor e Agente do Essbase
Repositório do Oracle Hyperion Shared Services    

1 Você precisa apenas de uma instância do keystore para dar suporte a vários componentes que usam um keystore semelhante.

2 Vários componentes podem usar um certificado raiz instalado em um keystore.

3 Os certificados devem ser instalados no Oracle Wallet padrão e no keystore Java.