Oracle HTTP Server 过程

Oracle HTTP Server 创建 Wallet 并安装证书

默认 Wallet 随 Oracle HTTP Server 自动安装。您必须为部署中的每个 Oracle HTTP Server 配置一个实际的 Wallet。

注意:从 11.2.x 开始,Oracle Wallet Manager 不再随 Oracle HTTP Server 一起安装。仅当您安装 Oracle Database Client 时,才会安装 Oracle Wallet Manager。您必须使用数据库客户端提供的 wallet 管理器来创建 wallet 并导入证书。如果要为 SSL 配置 Oracle HTTP Server,请确保在 EPM 系统产品安装期间始终安装 64 位 Oracle Database Client。

创建并安装 Oracle HTTP Server 证书:

  1. 在托管 Oracle HTTP Server 的每台计算机上,启动 Wallet Manager。

    依次选择开始所有程序Oracle-OHxxxxxx集成管理工具Wallet Manager

    xxxxxxOracle HTTP Server 的实例号。

  2. 创建一个新的空 Wallet。

    1. 在 Oracle Wallet Manager 中,依次选择 Wallet新建

    2. 单击以创建默认 Wallet 目录,或者单击以在您选定的位置创建 Wallet 文件。

    3. 在“新建 Wallet”屏幕上的 Wallet 密码确认密码选项中,输入您要使用的密码。

    4. 单击确定

    5. 在确认对话框中,单击

  3. 可选:如果没有使用 Oracle HTTP Server 已知的 CA,请将根 CA 证书导入该 Wallet。

    1. 在 Oracle Wallet Manager 中,右键单击信任证书并选择导入信任证书

    2. 浏览并选择根 CA 证书。

    3. 选择打开

  4. 创建证书请求。

    1. 在 Oracle Wallet Manager 中,右键单击证书:[空] 并选择添加证书请求

    2. 在“创建证书请求”中,输入必需信息。

      对于公共名称,输入完全限定的服务器别名(例如 epm.myCompany.comepminternal.myCompany.com),可从系统上的 hosts 文件中找到此信息。

    3. 单击确定

    4. 在确认对话框中,单击确定

    5. 右键单击创建的证书请求,然后选择导出证书请求

    6. 指定证书请求文件的名称。

  5. 使用证书请求文件,从 CA 获得签名证书。

  6. 导入签名证书

    1. 在 Oracle Wallet Manager 中,右键单击用于获取签名证书的证书请求,然后选择导入用户证书

    2. 在“导入证书”中,单击确定以从文件导入证书。

    3. 在“导入证书”中,选择“证书文件”,然后单击打开

  7. 将 Wallet 保存到方便的位置;例如,EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem

  8. 选择 Wallet,然后选择自动登录以激活自动登录。

使用 ORAPKI 设置 Oracle Wallet(在 Linux 上)

要使用 ORAPKI 命令行设置 Oracle Wallet,请完成以下步骤:

  1. 创建用于存放 wallet 的文件夹: 
    $ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
  2. 将 orapki 实用程序的位置添加到您的路径中: 
    $ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
  3. 创建 wallet 以存放您的证书: 
    >$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login
    此命令提示您输入和重新输入 wallet 密码(如果未在命令行上指定任何密码)。它将在为 -wallet 指定的位置创建 wallet。
  4. 生成证书签名请求 (certificate signing request, CSR) 并将其添加到您的 wallet: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
  5. 将根证书和中间证书添加到可信的密钥库中 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
  6. 使用您的 CA(Cerificate Authority,证书颁发机构)为 CSR(Certificate Signing Request,证书签名请求)签名。要从 Oracle Wallet 导出证书请求: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
  7. 将签名的 CSR 导入到 wallet 中: 
        $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
  8. 要显示 wallet 的内容: 
    $ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]

Oracle HTTP Server 启用 SSL

在托管 Oracle HTTP Server 的每台计算机上重新配置 Web 服务器之后,更新 Oracle HTTP Server 配置文件,将其中的默认 Wallet 位置替换为您创建的 Wallet 的位置。

要为 Oracle HTTP Server 配置 SSL

  1. 在部署中的每台 Oracle HTTP Server 主机上重新配置 Web 服务器。

  2. 为实例启动 EPM System Configurator

  3. 在配置任务选择屏幕中,完成以下步骤,然后单击下一步

    1. 通过取消全选清除所选内容。

    2. 展开 Hyperion Foundation 任务组,然后选择配置 Web 服务器

  4. 配置 Web 服务器中,单击下一步

  5. 确认中,单击下一步

  6. 摘要中,单击完成

  7. 使用文本编辑器打开 EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf

  8. 确保使用的 SSL 端口已列在 OHS Listen port 下,类似如下所示:

    如果使用 19443 作为 SSL 通信端口,条目内容应如下所示:

    Listen 19443

  9. SSLSessionCache 参数值设置为 none

  10. 更新部署中每个 Oracle HTTP Server 的配置设置。

    1. 使用文本编辑器打开 EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf

    2. 找到 SSLWallet 指令并更改其值,使其指向安装证书所在的 Wallet。如果您已在 EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem 中创建 Wallet,则 SSLWallet 指令可能如下所示:

      SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"

    3. 保存并关闭 sl.conf

  11. 更新部署中每个 Oracle HTTP Server 上的 mod_wl_ohs.conf

    1. 使用文本编辑器打开 EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf

    2. 确保 WLSSLWallet 指令指向存储 SSL 证书的 Oracle Wallet。

      WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet

      例如 C:/Oracle/Middleware/ohs/bin/wallets/myWallet

    3. SecureProxy 指令的值设置为 ON

      SecureProxy ON

    4. 确保已部署的 Oracle Enterprise Performance Management System 组件的 LocationMatch 定义类似以下 Oracle Hyperion Shared Services 示例。该示例假定有一个 Oracle WebLogic Server 群集(位于 myserver1myserver2 上且使用 SSL 端口 28443):

      <LocationMatch /interop/>
    SetHandler weblogic-handler
    pathTrim /
    WeblogicCluster myServer1:28443,myServer2:28443
    WLProxySSL ON
</LocationMatch>

    5. 保存并关闭 mod_wl_ohs.conf