適用於 Essbase 11.1.2.4 的 SSL
簡介
本節說明取代預設憑證的程序,這些憑證用於保護 Oracle Essbase 例項與元件 (例如 MaxL、Oracle Essbase Administration Services 伺服器、Oracle Essbase Studio 伺服器、Oracle Hyperion Provider Services、Oracle Hyperion Foundation Services、Oracle Hyperion Planning、Oracle Hyperion Financial Management 和 Oracle Hyperion Shared Services Registry) 之間的通訊。
預設部署
您可以把 Essbase 部署成在 SSL 模式,以及在非 SSL 模式中運作。Essbase 代理程式會監聽非安全連接埠;您也可以把它設定成會監聽安全連結埠。所有存取安全連接埠的連線都會被視為 SSL 連線。如果某個用戶端連線到非 SSL 連接埠上的 Essbase 代理程式,該連線就會被視為非 SSL 連線。元件可建立會前往 Essbase 代理程式的並行非 SSL 和 SSL 連線。
您可以控制每個階段作業的 SSL,方法是在您登入時指定安全通訊協定和連接埠。請參閱建立每一階段作業 SSL 連線。
如果 SSL 已啟用,Essbase 例項內的所有通訊都會受到加密,以確保資料安全無虞。
採用安全模式的預設 Essbase 元件部署,會使用自我簽署憑證來啟用 SSL 通訊,這主要是用來測試的。Oracle 建議您,使用知名第三方 CA 的憑證來啟用實際執行環境中 Essbase 的 SSL 設定。
通常,Oracle Wallet 儲存會搭配使用 Essbase RTC 的用戶端來啟用 SSL 通訊的憑證,而 Java 金鑰存放區儲存會搭配利用 JAPI 來通訊的元件來啟用 SSL 通訊的憑證。如要建立 SSL 通訊,Essbase 用戶端和工具要儲存已簽署 Essbase 伺服器和代理程式憑證之 CA 的根憑證。請參閱必要的憑證和它們的位置。
必要的憑證和它們的位置
Oracle 建議您,使用知名第三方 CA 的憑證來啟用實際執行環境中 Essbase 的 SSL 設定。您可以針對測試,使用預設的自我簽署憑證。
註:
Essbase 支援使用萬用字元憑證,讓您能使用單一 SSL 憑證來保護多個子網域。使用萬用字元憑證能減少管理時間和成本。
如果您已啟用主機名稱檢查功能,就無法使用萬用字元憑證。
您需要下列憑證:
- 根 CA 憑證。
使用 Essbase RTC 來建立至 Essbase 之連線的元件,需要讓根 CA 憑證儲存在 Oracle Wallet 中。使用 JAPI 來建立連線的元件,需要讓根 CA 憑證儲存在 Java 金鑰存放區中。下方的表格列出必要的憑證和它們的位置。
註:
如果您要使用來自知名第三方 CA 的憑證,且該 CA 的根憑證已經安裝在 Oracle Wallet 中,您可能就不需要安裝根 CA 憑證。
- Essbase 伺服器和 Essbase 代理程式的已簽署憑證。
表格 2-1 必要的憑證和它們的位置
| 元件 1 | 金鑰存放區 | 憑證 2 |
|---|---|---|
| MaxL | Oracle Wallet | 根 CA 憑證 |
| Administration Services 伺服器 | Oracle Wallet | 根 CA 憑證 |
| Provider Services | Oracle Wallet | 根 CA 憑證 |
| Oracle Enterprise Performance Management System 資料庫 | Oracle Wallet | 根 CA 憑證 |
| Essbase Studio 伺服器 | Java 金鑰存放區 | 根 CA 憑證 |
| Planning |
|
根 CA 憑證 |
| Financial Management | Java 金鑰存放區 | 根 CA 憑證 |
| Essbase (伺服器和代理程式) 3 |
|
|
| Oracle Hyperion Shared Services 儲存庫 | ||
|
1 您只需要金鑰存放區的一個例項即可支援使用類似金鑰存放區的多個元件。 2 您可以讓多個元件使用安裝在金鑰存放區中的單一根憑證。 3 憑證必須安裝在預設的 Oracle Wallet 中,以及在 Java 金鑰存放區中。 |
||