用于 Essbase 11.1.2.4 的 SSL
概览
本节介绍替换默认证书的过程,这些证书用于保护 Oracle Essbase 实例和组件之间通信,例如以下组件和实例:MaxL、Oracle Essbase Administration Services 服务器、Oracle Essbase Studio 服务器、Oracle Hyperion Provider Services、Oracle Hyperion Foundation Services、Oracle Hyperion Planning、Oracle Hyperion Financial Management 和 Oracle Hyperion Shared Services Registry。
默认部署
Essbase 部署后可以在 SSL 和非 SSL 模式下工作。Essbase 代理侦听非安全端口;也可以配置为侦听安全端口。访问安全端口的所有连接均被视为 SSL 连接。如果客户端连接到非 SSL 端口上的 Essbase 代理,则该连接将被视为非 SSL 连接。组件可以与 Essbase 代理建立并发的非 SSL 连接和 SSL 连接。
您可以通过在登录时指定安全协议和端口来控制每个会话的 SSL。请参阅“建立每个会话的 SSL 连接”。
如果已启用 SSL,则 Essbase 实例内的所有通信均会加密,以确保数据安全性。
Essbase 组件在安全模式下的默认部署使用自签名证书来启用 SSL 通信,主要用于测试目的。Oracle 建议您在生产环境中对已启用 SSL 的 Essbase 使用来自知名第三方的 CA 证书。
通常,用于与使用 Essbase RTC 的客户端进行 SSL 通信的证书存储在 Oracle Wallet 中,而用于与使用 JAPI 通信的组件进行 SSL 通信的证书存储在 Java 密钥库中。为了建立 SSL 通信,Essbase 客户端和工具会存储对 Essbase 服务器和代理证书进行签名的 CA 的根证书。请参阅“必需的证书及其位置”。
必需的证书及其位置
Oracle 建议您在生产环境中对已启用 SSL 的 Essbase 使用来自知名第三方的 CA 证书。您可以使用默认的自签名证书进行测试。
注:
Essbase 支持使用通配符证书,通过一个 SSL 证书即可保护多个子域。使用通配符证书可以减少管理时间和成本。
如果已启用主机名检查,则不能使用通配符证书。
您需要以下证书:
- 根 CA 证书。
使用 Essbase RTC 与 Essbase 建立连接的组件要求根 CA 证书存储在 Oracle Wallet 中。使用 JAPI 建立连接的组件要求根 CA 证书存储在 Java 密钥库中。下表列出了必需的证书及其位置。
注:
如果您使用来自某知名第三方 CA 的证书而且已将其根证书安装在 Oracle Wallet 中,则无需安装根 CA 证书。
- 用于 Essbase 服务器和 Essbase 代理的签名证书。
表 2-1 必需的证书及其位置
| 组件1 | 密钥库 | 证书 2 |
|---|---|---|
| MaxL | Oracle Wallet | 根 CA 证书 |
| Administration Services 服务器 | Oracle Wallet | 根 CA 证书 |
| Provider Services | Oracle Wallet | 根 CA 证书 |
| Oracle Enterprise Performance Management System 数据库 | Oracle Wallet | 根 CA 证书 |
| Essbase Studio 服务器 | Java 密钥库 | 根 CA 证书 |
| Planning |
|
根 CA 证书 |
| Financial Management | Java 密钥库 | 根 CA 证书 |
| Essbase(服务器和代理) 3 |
|
|
| Oracle Hyperion Shared Services 存储库 | ||
|
1 您仅需一个密钥库实例即可支持多个使用类似密钥库的组件。 2 多个组件可以使用已安装到密钥库中的同一个根证书。 3 证书必须安装在默认的 Oracle Wallet 和 Java 密钥库中。 |
||