針對 Oracle HTTP Server 建立公事包及安裝憑證
預設的公事包會自動與 Oracle HTTP Server 一起安裝。您必須針對部署中的每個 Oracle HTTP Server 設定真正的公事包。
注意:從 11.2.x 開始,Oracle Wallet Manager 不會與 Oracle HTTP 伺服器一起安裝。僅當您安裝 Oracle 資料庫用戶端時,才會安裝 Oracle Wallet Manager。您必須使用資料庫用戶端提供的公事包管理員來建立公事包並匯入憑證。如果您要為 SSL 設定 Oracle HTTP 伺服器,請確保一律在安裝 EPM 系統產品的過程中安裝 Oracle 資料庫用戶端 64 位元。
如何建立及安裝 Oracle HTTP Server 憑證:
在裝載 Oracle HTTP Server 的每台機器上啟動 Wallet Manager。
請依序選取 Start、所有程式、Oracle-OHxxxxxx、整合式管理工具及 Wallet Manager。
xxxxxx
是 Oracle HTTP Server 例項編號。
建立空白的全新公事包。
在 Oracle Wallet Manager 中,依序選取公事包及新建。
按一下是來建立預設的公事包目錄,或是按一下否,以便在您選擇的位置建立公事包檔案。
在「新公事包」畫面的公事包密碼和確認密碼中,輸入您要使用的密碼。
按一下確定。
在確認對話方塊中,按一下否。
選用:如果您沒有使用 Oracle HTTP Server 知道的 CA,請將根 CA 憑證匯入公事包。
在 Oracle Wallet Manager 中,按滑鼠右鍵按一下受信任的憑證,然後選取匯入受信任的憑證。
瀏覽並選取根 CA 憑證。
選取開啟。
建立憑證要求。
在 Oracle Wallet Manager 中,按滑鼠右鍵按一下憑證:[空白],然後選取新增憑證要求。
在「建立憑證要求」中,輸入必要資訊。
針對一般名稱,請輸入完整的伺服器名稱;例如您系統之 hosts
檔案中的 epm.myCompany.com
或 epminternal.myCompany.com
。
按一下確定。
在確認對話方塊中按一下確定。
用滑鼠右鍵按一下您建立的憑證要求,然後選取匯出憑證要求。
指定憑證要求檔案的名稱。
利用憑證要求檔案,取得 CA 的已簽署憑證。
匯入已簽署憑證。
在 Oracle Wallet Manager 中,用滑鼠右鍵按一下您用來取得已簽署憑證的憑證要求,然後選取匯入使用者憑證。
在「匯入憑證」中,按一下確定以便從檔案匯入憑證。
在「匯入憑證」中,選取憑證檔案,然後按一下開啟。
將公事包儲存在您方便存取的位置;例如 EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem
。
選取公事包,然後選取自動登入以啟動自動登入功能。
使用 ORAPKI 設定 Oracle Wallet (Linux)
若要使用 ORAPKI 命令行設定 Oracle Wallet,請完成下列步驟:
$ mkdir /MIDDLEWARE_HOME/oracle_common/wallet
$ export PATH=$PATH:$MIDDLEWARE_HOME/oracle_common/bin
>$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet create -wallet [wallet_location] -auto_login如果未在命令行中指定密碼,此命令會提示您輸入並重新輸入公事包密碼。它會在
-wallet
指定的位置建立公事包。$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -keysize 512|1024|2048|4096 -pwd [Wallet_Password]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -trusted_cert -cert [certificate_location] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet export -wallet [wallet_location] -dn 'CN=<CommonName>,OU=<OrganizationUnit>, O=<Company>, L=<Location>, ST=<State>, C=<Country>' -request [certificate_request_filename] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet add -wallet [wallet_location] -user_cert -cert [certificate_location] [-pwd]
$ MIDDLEWARE_HOME/oracle_common/bin/orapki wallet display -wallet [wallet_location] [-pwd]
啟用 Oracle HTTP Server 的 SSL 設定
當您設定用來裝載 Oracle HTTP Server 的每個機器上的 Web 伺服器之後,請更新 Oracle HTTP Server 設定檔案,方法是將預設公事包的位置,替換成您建立的公事包位置。
如何針對 SSL 設定 Oracle HTTP Server:
重新設定您部署中每個 Oracle HTTP Server 主機上的 Web 伺服器。
啟動例項的 EPM System Configurator。
在選取設定工作畫面中完成下列步驟,然後按一下下一步。
清除全部取消勾選的選取。
展開 Hyperion Foundation 工作群組,然後選取設定 Web 伺服器。
在設定 Web 伺服器中,按一下下一步。
在確認中,按一下下一步。
在摘要中,按一下完成。
使用文字編輯器開啟 EPM_ORACLE_INSTANCE/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf
。
確保您要使用的 SSL 連接埠列在 OHS 監聽連接埠
下方,與下方範例類似:
如果您要把 19443
當做 SSL 通訊連接埠,該項目應該會是:
Listen 19443
將 SSLSessionCache
參數值設定為無
。
更新您部署中每個 Oracle HTTP Server 的組態設定。
使用文字編輯器開啟 EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/ssl.conf
。
尋找 SSLWallet
指示詞,並將其值改變成會指向您安裝憑證所在的公事包。如果您之前將公事包建立在 EPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/keystores/epmsystem
,您的 SSLWallet
指示詞可能會跟下列範例一樣:
SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/epmsystem"
儲存並關閉 ssl.conf
。
更新您部署中每個 Oracle HTTP Server 上的 mod_wl_ohs.conf
。
使用文字編輯器開啟 EPM_ORACLE_INSTANCE/httpConfig//ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf
。
確保 WLSSLWallet
指示詞會指向 SSL 憑證所在的 Oracle Wallet。
WLSSLWallet MIDDLEWARE_HOME/ohs/bin/wallets/myWallet
例如 C:/Oracle/Middleware/ohs/bin/wallets/myWallet
將 SecureProxy
指示詞的值設定為 ON
。
SecureProxy ON
確保已部署的 Oracle Enterprise Performance Management System 元件的 LocationMatch
定義,類似於下列的 Oracle Hyperion Shared Services 範例;該定義假設一個 Oracle WebLogic Server 叢集 (在使用 SSL 連接埠 28443 的 myserver1
和 myserver2
上):
<LocationMatch /interop/> SetHandler weblogic-handler pathTrim / WeblogicCluster myServer1:28443,myServer2:28443 WLProxySSL ON </LocationMatch>
儲存並關閉 mod_wl_ohs.conf
。