設定 HFM 伺服器以使用 SSL 資料庫連線

將資料庫的憑證新增至 HFM 伺服器上的信任存放區

下列步驟必須在運行 HFM 資料來源的每部 EPM 伺服器上執行。下方使用的 %MW_HOME% 環境變數是 Oracle Middleware 安裝的位置。依預設，在 EPM 安裝過程中不會建立此環境變數，此處用於顯示 EPM 安裝的父目錄。

EPM 安裝的位置由 EMP_ORACLE_HOME 環境變數指定。下方的範例將金鑰存放區和信任存放區放置在與 EPM 安裝共存的目錄中。金鑰存放區和信任存放區檔案可以位於 HFM 伺服器檔案系統上的任何位置。

1. 在 %MW_HOME% 下建立新的目錄，以儲存 Java 金鑰存放區和 PKCS12 信任存放區。
   1. cd %MW_HOME%
   2. mkdir certs
2. 從 JDK 複製 Java 金鑰存放區的 cacerts 檔案。
   1. cd %MW_HOME%\certs
   2. 複製 %MW_HOME%\jdk1.8.0_181\jre\lib\security\cacerts testing_cacerts

      複製並使用 JDK 的金鑰存放區而不是 JDK 的預設金鑰存放區的原因是，如果升級 JDK 並刪除了先前的 JDK，則插入至預設金鑰存放區中的金鑰和憑證將會遺失。

3. 將 Base 64 憑證複製到 %MW_HOME%\certs。
4. 將憑證匯入 Java 金鑰存放區檔案 testing_cacerts。
   1. 例如，keytool -importcert -file bur00cbb-certificate.crt -keystore testing_cacerts -alias "myserver"
      1. 您必須指定檔案金鑰存放區的密碼。
      2. 您應將 "myserver" 取代為資料庫伺服器的完整網域。
   2. 當系統提示您並詢問是否應信任憑證時，請指定 y。
5. 從 JDK 的 Java 金鑰存放區檔案建立 PKCS12 格式的信任存放區。例如，

   keytool -importkeystore -srckeystore testing_cacerts -srcstoretype JKS -deststoretype PKCS12 -destkeystore testing_cacerts.pfx

更新 HFM JDBC 連線以使用 SSL

1. 重新設定 HFM 資料庫 JDBC 連線以使用 SSL。
   1. 啟動 EPM 組態工具。
      1. 選取 Financial Management 節點下的設定資料庫和部署到應用程式伺服器節點。
      2. 按一下下一步。
      3. 對 HFM JDBC 連線執行上述每個步驟
         1. 在連接埠、服務名稱、使用者名稱和密碼欄中輸入連線的 SSL 連接埠、服務名稱、使用者名稱和密碼。
         2. 按一下 ( + ) 來開啟進階資料庫選項。
         3. 選取使用安全的連線核取方塊。
         4. 輸入在步驟 2 中建立的 Java 金鑰存放區的位置。
         5. 按一下套用。
         6. 按一下 ( + ) 來開啟進階資料庫選項。
         7. 按一下編輯並使用已修改的 JDBC URL。請注意，不應對顯示的 JDBC URL 進行任何變更。
         8. 按一下套用。
         9. 按一下下一步。
   2. 按照 EPM 文件中所述完成部署 HFM 應用程式的剩餘步驟。
2. 開啟命令視窗或殼層來手動更新 EPM 登錄，以便資料來源使用的 ODBC 連線可以啟用 SSL。

   執行以下列出的每個命令：

   epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTORE "C:
   \Oracle\Middleware\certs\testing_cacerts.pfx"
   epmsys_registry.bat addencryptedproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
   /@ODBC_TRUSTSTOREPASSWORD <truststorepassword>
   epmsys_registry.bat addproperty FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN
   /@ODBC_VALIDATESERVERCERTIFICATE false

   在上方的範例中，路徑 C:\Oracle\Middleware 是步驟 1、2 和 3 中 %MW_HOME% 的值。

   僅當使用自簽憑證時，特性 FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_VALIDATESERVERCERTIFICATE 才應設定為偽。FINANCIAL_MANAGEMENT_PRODUCT/DATABASE_CONN/@ODBC_TRUSTSTOREPASSWORD 的值應該是在步驟 2 中複製的原始 Java 金鑰存放區的密碼。

更新 HFM 使用的 TNS 名稱項目

編輯 TNSNAMES.ORA 以建立新的項目並重新命名舊的項目。下列範例顯示 HFM 伺服器上已套用必要變更的更新 TNSNAMES.ORA 檔案。進行這些變更的原因是 HFM 會尋找並使用名為 HFMTNS 的 TNS 名稱項目。此項目必須變更通訊協定和連接埠，XFMDataSource 才能正常運作。

HFMTNS_UNENC =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = myserver)(PORT = 1521))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)
HFMTNS =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myserver)(PORT = 1522))
)
(CONNECT_DATA =
(SERVICE_NAME = myserver_service)
(SERVER = DEDICATED)
)
)

原始 HFMTNS 項目已重新命名為 HFMTNS_UNENC。新的 HFMTNS 是藉由複製 HFMTNS_UNENC 項目，將其重新命名為 HFMTNS. 而建立的。接著通訊協定更新為 TCPS，連接埠則變更為 1522。指定的連接埠必須與 TNS LISTENER.ORA 檔案中指定的連接埠相同。