EssbaseのフェイルオーバーのためのTLSの構成
セキュア・モードで動作するようにEssbaseのフェイルオーバーを構成するには、キーストア構成が両方のEssbaseドメインで一致していることを確認します。
TLS構成ユーティリティを使用して、すべてのEssbaseノードおよびWebLogic管理対象サーバーのセキュリティ証明書を更新できます。リリース21.4以降、アイデンティティ・ストアとトラスト・ストアの構成をすべてのクライアントおよびサーバーで手動で複製する必要がないように、このユーティリティを使用できます。
このユーティリティを使用するには、TLS構成ユーティリティの手順に従います。それ以外の場合、手動で構成するには、手動でのTLS構成を参照してください。
TLS構成ユーティリティ
次の手順は、デフォルトの自己署名証明書を使用している場合にのみ該当します。フェイルオーバーが動作するには、すべてのEssbaseノードおよびWebLogic管理対象サーバーのTLS証明書を更新する必要があります。
コマンドラインの手順は例示のみを目的としています。ご使用の環境の詳細は異なっています。
前提条件
-
Essbaseは、デプロイメントのWebLogicサーバー・ポート構成フェーズで、セキュア接続モード用に構成されました。
-
Essbaseサーバーは停止されています(サーバーの停止、起動および確認を参照)。
-
プライマリEssbaseノードおよびFusion Middlewareがインストールされているマシンで、
<ORACLE_HOME>/essbase/bin
に移動します。cd /scratch/username/oracle_home/essbase/bin
-
tls_tools.properties
をテキスト・エディタで開きます。その内容は、デフォルトでは次のパラメータであり、値は空です。certFile= certCA= SAN=
-
SANパラメータに値を指定して、Essbaseによる証明書の更新方法を指定します。その他のパラメータは空白のままにします。
tls_tools.properties
ファイルを構成しないままにすると、tlsTools.jar
を実行したときに、ユーティリティによってEssbase環境内の既存のすべての証明書が更新されます。ただし、Essbaseをフェイルオーバーに対して有効にする必要がある場合は、デフォルトよりも多くの構成が必要です。これは、フェイルオーバー環境に必要なすべてのノードを含める必要があるためです。SAN (サブジェクトの代替名)パラメータでは、証明書の更新によって保護される必要があるすべてのIPアドレスおよびドメイン名を指定できます。Essbaseをフェイルオーバー用に構成する場合、次のサーバーの場所すべてに関する情報をこのパラメータに指定します。
-
フェイルオーバー環境内の各Essbaseホスト
-
ロード・バランサ(たとえば、Oracle HTTP Serverがロード・バランサ用に使用される場合は、そのIPアドレスを含めます)
-
EPM Shared Servicesサーバー(EPMセキュリティ・モードを使用する場合)
例:
SAN=IP:10.x.x.11,IP:10.x.x.13,IP:10.x.x.17,DNS:myhost,DNS:myhost.example.com certCA= certFile=
-
-
tls_tools.properties
ファイルを保存します。 -
TLS構成ユーティリティの場所、
<ORACLE_HOME>/essbase/lib
に移動します。cd /scratch/username/oracle_home/essbase/lib
-
現在のターミナル・セッションまたはシェル・スクリプト(そこで
tlsTools.jar
を起動します)で次の変数を設定します。- JAVA_HOMEおよびPATH
- ORACLE_HOME
- DOMAIN_HOME
Linuxの例:
export JAVA_HOME=/scratch/jdk1.8.0_311 export PATH=$JAVA_HOME/bin:$PATH export ORACLE_HOME=/scratch/username/oracle_home export DOMAIN_HOME=/scratch/username/oracle_home/user_projects/domains/essbase_domain
Windowsの例:
set JAVA_HOME=C:\Program Files(x86)\Java\jdk1.8\ set PATH=%JAVA_HOME%\bin;%PATH% set ORACLE_HOME=C:\oracle_home set DOMAIN_HOME=C:\oracle_home\user_projects\domains\essbase_domain
-
TLSプロパティ・ファイルのパスを引数として指定して、TLS構成ユーティリティを実行します。
Linuxの場合:
java -jar $ORACLE_HOME/essbase/lib/tlsTools.jar $ORACLE_HOME/essbase/bin/tls_tools.properties
Windowsの場合:
java -jar %ORACLE_HOME%\essbase\lib\tlsTools.jar %ORACLE_HOME%\essbase\bin\tls_tools.properties
秘密キーのパスワードがユーティリティによって求められます。
プロパティ・ファイルをどのように構成したかに応じて、アイデンティティ・ストアとトラスト・ストアの証明書がユーティリティによって置き換えられます。
手動でのTLS構成
次の手順は、デフォルトの自己署名証明書を使用している場合にのみ該当します。TLS構成ユーティリティ(tlsTools.jar
)を使用して証明書を更新した場合は、これらのステップをスキップできます。
ホスト1およびホスト2のSSL/TLSの構成については、「通信およびネットワークの保護について」を参照してください。
-
WebLogicの管理対象サーバーがSSL/TLS用に構成されている場合は、次のファイルをホスト1からホスト2の同じディレクトリにコピーする必要があります。
DOMAIN_HOME/config/fmwconfig/essconfig/essbase/walletssl/keystore.jks
DOMAIN_HOME/config/fmwconfig/ovd/default/keystores/adapters.jks
-
ホスト1でWebLogic AdminServerを起動します。
Linuxの場合:
DOMAIN_HOME/esstools/bin/start.sh -i AdminServer
Windowsの場合:
DOMAIN_HOME\esstools\bin\start.cmd -i AdminServer
-
ホスト1のWebLogic管理コンソールにログインします。左側にある「ドメイン構造」ツリーで、「ドメイン名」->「環境」->「サーバー」->「essbase_server1」->「構成」タブ->「キーストア」タブの順に移動します。
-
「カスタム・アイデンティティ・キーストア」および「カスタム信頼キーストア」の構成値を記録します。
-
「構成」->「SSL」タブで、essbase_server1の秘密キーの別名の値を記録します。
-
構成をロックし、編集します。
-
キーストアを「カスタム・アイデンティティとカスタム信頼」に変更した後で、essbase_server2の同じ値を対応する「キーストア」および「SSL」タブに設定します。
- 「環境」->「サーバー」->「essbase_server2」->「構成」タブ->「キーストア」タブの順に移動します。
- 「デモ・アイデンティティとデモ信頼」ボタンの横にある「変更」をクリックします。
- 「キーストア」ドロップダウン・メニューで「カスタム・アイデンティティとカスタム信頼」を選択し、「保存」をクリックします。
- 「カスタム・アイデンティティ・キーストア」の場合は、essbase_server1の構成から記録した
keystore.jks
への構成パスをペーストします。 - 「カスタム信頼キーストア」の場合は、essbase_server1の構成から記録した
adapters.jks
への構成パスをペーストします。 - 「保存」をクリックします。
- 「SSL」タブをクリックします。
- 「秘密キーの別名」の場合は、記録した別名をペーストして、「保存」をクリックします。
-
変更を保存し、アクティブ化します。
-
両方の管理対象サーバーの証明書がロード・バランサの信頼ストアにインポートされていることを確認します。