用于 Essbase 21c 的 SSL

概览

本节介绍替换默认证书的过程,这些证书用于保护 Oracle Essbase 实例和组件之间通信,例如以下组件和实例:MaxL、Oracle Essbase Administration Services 服务器、Oracle Hyperion Provider ServicesOracle Hyperion Foundation ServicesOracle Hyperion PlanningOracle Hyperion Financial ManagementOracle Hyperion Shared Services Registry

注:

  • Essbase Administration Services (EAS) Lite 不使用通过 EPM Configurator 配置的 HTTP 服务器 SSL 端口(例如 443)。easconsole.jnlp 文件中的安全 URL 默认为使用非 SSL 端口 (80)。

    解决方法:用更新的安全 URL 替换 easconsole.jnlp 中标识的安全 URL 中的默认非 SSL 端口:

    默认安全 URL:https://myserver:SECURE_PORT/easconsole/console.html。例如,https://myserver:80/easconsole/console.html

    更新的安全 URL:https://myserver:SECURE_PORT/easconsole/console.html。例如,https://myserver:443/easconsole/console.html

    有关详细信息,请参阅 My Oracle Support (MOS) 文章 - 文档 ID 1926558.1 - SSL 端口未包括在 EAS Web 控制台的 easconsole.jnlp 中

  • 如果在 Windows 环境中为 EPM 设置了 SSL,则 Planning 与 Essbase 的连接可能无法正常工作。

    解决方法:将以下文件夹路径添加到安装了 Planning 的服务器上的 PATH 系统环境变量中。

    EPM_ORACLE_HOME\bin21C

默认部署

Essbase 部署后可以在 SSL 和非 SSL 模式下工作。Essbase 代理侦听非安全端口;也可以配置为侦听安全端口。访问安全端口的所有连接均被视为 SSL 连接。如果客户端连接到非 SSL 端口上的 Essbase 代理,则该连接将被视为非 SSL 连接。组件可以与 Essbase 代理建立并发的非 SSL 连接和 SSL 连接。

您可以通过在登录时指定安全协议和端口来控制每个会话的 SSL。请参阅“建立每个会话的 SSL 连接”。

如果已启用 SSL,则 Essbase 实例内的所有通信均会加密,以确保数据安全性。

Essbase 组件在安全模式下的默认部署使用自签名证书来启用 SSL 通信,主要用于测试目的。Oracle 建议您在生产环境中对已启用 SSLEssbase 使用来自知名第三方的 CA 证书。


概念上的安全部署

通常,用于与使用 Essbase RTC 的客户端进行 SSL 通信的证书存储在 Oracle Wallet 中,而用于与使用 JAPI 通信的组件进行 SSL 通信的证书存储在 Java 密钥库中。为了建立 SSL 通信,Essbase 客户端和工具会存储对 Essbase 服务器和代理证书进行签名的 CA 的根证书。

必需的证书及其位置

Oracle 建议您在生产环境中对已启用 SSLEssbase 使用来自知名第三方的 CA 证书。您可以使用默认的自签名证书进行测试。

注:

Essbase 支持 OpenSSL 所支持的证书。

您需要以下证书:

  • 根 CA 证书。

    使用 Essbase RTC 与 Essbase 建立连接的组件要求根 CA 证书存储在 Oracle Wallet 中。使用 JAPI 建立连接的组件要求根 CA 证书存储在 Java 密钥库中。下表列出了必需的证书及其位置。

    注:

    如果您使用来自某知名第三方 CA 的证书而且已将其根证书安装在 Oracle Wallet 中,则无需安装根 CA 证书。

  • 用于 Essbase 服务器和 Essbase 代理的签名证书。

表 2-4 必需的证书及其位置

组件1 密钥库 证书 2
MaxL Oracle Wallet 根 CA 证书
Administration Services 服务器 Oracle Wallet 根 CA 证书
Provider Services Oracle Wallet 根 CA 证书
Oracle Enterprise Performance Management System 数据库 Oracle Wallet 根 CA 证书
Planning
  • Oracle Wallet
  • Java 密钥库
 根 CA 证书
Financial Management Java 密钥库 根 CA 证书
Essbase(服务器和代理) 3
  • Oracle Wallet
  • Java 密钥库
  • 根 CA 证书
  • 用于 Essbase 服务器和代理的签名证书。
Oracle Hyperion Shared Services 存储库    

1 您仅需一个密钥库实例即可支持多个使用类似密钥库的组件。

2 多个组件可以使用已安装到密钥库中的同一个根证书。

3 证书必须安装在默认的 Oracle Wallet 和 Java 密钥库中。