C APIを使用するコンポーネント(Essbaseサーバーとクライアント)のSSL設定は、essbase.cfgに値を指定してカスタマイズします。
EssbaseサーバーのSSL設定は、essbase.cfgに値を指定してカスタマイズします。
essbase.cfgを編集して、次のようなEssbaseのSSL設定をカスタマイズします:
セキュア・モードを有効にする設定
クリア・モードを有効にする設定
クライアントとの通信で優先されるモード(クライアントでのみ使用)
セキュアなポート
暗号スイート
Oracle Walletのパス
essbase.cfgを更新するには:
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/essbase.cfgを開きます。
必要に応じて設定を入力します。デフォルトのEssbase設定は暗黙的です。デフォルトの動作を変更する必要がある場合、essbase.cfg内のカスタム動作の設定を追加します。たとえば、デフォルトでEnableClearModeが適用され、それにより、Essbaseサーバーは、暗号化されていないチャネルで通信することが有効化されます。Essbaseサーバーの、暗号化されていないチャネルで通信する機能をオフにするには、essbase.cfgでEnableClearMode FALSEを指定する必要があります。表2を参照してください。
表2. EssbaseのSSL設定
設定 説明[1] EnableClearMode[2] EssbaseアプリケーションとEssbaseエージェントとの間で暗号化されていない通信を有効にします。このプロパティがFALSEに設定されている場合、EssbaseはSSL要求を処理できません。 デフォルト: EnableClearMode TRUE
例: EnableClearMode FALSE
EnableSecureMode EssbaseクライアントとEssbaseエージェントとの間でSSL暗号化通信を有効にします。SSLをサポートするには、このプロパティをTRUEに設定する必要があります。 デフォルト: FALSE
例: EnableSecureMode TRUE
SSLCipherSuites SSL通信で使用される暗号スイートの優先順のリスト。Essbase C APIを使用するコンポーネントに使用可能な暗号スイートを参照してください。Essbaseエージェントで、これらの暗号スイートの1つがSSL通信に使用されます。エージェントが暗号スイートを選択する際、リスト内の最初の暗号スイートに最も高い優先度が適用されます。 デフォルト: SSL_RSA_WITH_RC4_128_MD5
例: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_DES_CBC_SHA
AgentSecurePort エージェントがリスニングするセキュアなポート。
デフォルト: 6423
例: AgentSecurePort 16001
WalletPath ルートCA証明書と署名付き証明書を保管するOracle Walletの場所(1,024文字未満)。 デフォルト: ARBORPATH/bin/wallet
例: WalletPath/usr/local/wallet
ClientPreferredMode[3] クライアント・セッションのモード(セキュアまたはクリア)。このプロパティがSecureに設定されている場合、SSLモードがすべてのセッションに使用されます。 このプロパティがClearに設定されている場合、クライアント・ログイン要求にセキュアなトランスポート・キーワードが含まれているかどうかに基づいてトランスポートが選択されます。セッションごとのSSL接続の確立を参照してください。
デフォルト: CLEAR
例: ClientPreferredMode SECURE
JAPIに依存するEssbaseコンポーネントに対して、いくつかのデフォルト・プロパティが事前定義されます。essbase.propertiesにプロパティを含めることによって、デフォルト・プロパティをオーバーライドできます。
注意: | 表3で識別されたSSLプロパティのうちいくつかのみがessbase.propertiesで外部化されます。外部化されないプロパティを追加する必要があります。 |
JAPIクライアントのSSLプロパティを更新するには:
テキスト・エディタを使用して、EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.1.2.0/bin/essbase.propertiesを開きます。
必要に応じてプロパティを更新します。カスタマイズ可能なJAPIクライアント・プロパティの説明は、表3を参照してください。
目的のプロパティがessbase.propertiesに含まれていない場合、そのプロパティを追加します。
表3. JAPIクライアントのデフォルトSSLプロパティ
プロパティ 説明 olap.server.ssl.alwaysSecure すべてのEssbaseインスタンスに対してクライアントで使用されるモードを設定します。このプロパティ値をtrueに設定すると、SSLモードが適用されます。 デフォルト: false
olap.server.ssl.securityHandler プロトコルの処理用パッケージ名。この値を変更して別のハンドラを指定できます。 デフォル: java.protocol.handler.pkgs
olap.server.ssl.securityProvider OracleではSun SSLプロトコル実装が使用されます。この値を変更すると、別のプロバイダを指定できます。 デフォル: com.sun.net.ssl.internal.www.protocol
olap.server.ssl.supportedCiphers セキュアな通信用に有効化される追加の暗号のカンマ区切りリスト。Essbaseでサポートされる暗号のみを指定する必要があります。Essbase C APIを使用するコンポーネントに使用可能な暗号スイートを参照してください。 例: SSL_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_AES_128_CBC_SHA
olap.server.ssl.trustManagerClass 署名の確認と証明書の有効期限のチェックによるSSL証明書の検証に使用するTrustManagerクラス。 デフォルトでは、すべての検証チェックを実施するようにはこのプロパティは設定されません。
誤りチェックが実施されないようにするには、このパラメータの値をcom.essbase.services.olap.security.EssDefaultTrustManagerに設定します。これは、すべての検証チェックを成功とするデフォルトのTrustManagerクラスです。
カスタムTrustManagerを実装するには、javax.net.ssl.X509TrustManagerインタフェースを実装するTrustManagerクラスの完全修飾クラス名を指定します。
例: com.essbase.services.olap.security.EssDefaultTrustManager