Essbase用のWeblogic TLS接続の設定
デフォルトでは、WebLogicは非暗号化モードで構成されています。ここでは、既存のセキュアでないドメインにWebLogic TLS接続を追加するステップについて説明します。
Essbase 21.2または21.3以降用のTLS接続の設定
ノート:
JAgentとWebLogicの証明書の前提条件と注意事項。
- Essbaseインストールを指すようにOracleホームの環境変数を設定します。構成を実行するためには、環境変数のJAVA_HOMEとORACLE_HOMEが定義されている必要があります。
- コマンド・ファイルのパラメータは、レスポンス・ファイルの場所(このファイルはGUIモードで作成され、サイレント・モードで使用されます)またはDOMAIN_HOMEの場所です。
- Essbaseを停止します
Linuxの場合:
${DOMAIN_HOME}/esstools/bin/stop.sh
Windowsの場合:
%DOMAIN_HOME%\esstools\bin\stop.cmd
- すべてのTLS証明書(Essbase 21.2または21.3以降で構成したもの)とウォレットを更新するには、次を実行します。
ノート:
RESPONSE_FILEとDOMAIN_HOMEは、スクリプト・パラメータでは同時に使用できません。どちらかのみを使用します。Linux上の21.2または21.3以降の場合:
java -cp $ORACLE_HOME/essbase/lib/essbaseconfig.jar com.oracle.wizard.operation.helper.ssl.SslConfigHelper [RESPONSE_FILE=<response file> | DOMAIN_HOME=<${DOMAIN_HOME}>]
ノート:
Linux上の21.3以降には、次のコマンドも使用できます(JAVA_HOMEとORACLE_HOMEのエクスポートが不要です)。
${ORACLE_HOME}/essbase/bin/ssl_config.sh [RESPONSE_FILE=<response file> | DOMAIN_HOME=<${DOMAIN_HOME}>]
Windows上の21.3以降の場合:
java -cp %ORACLE_HOME%\essbase\lib\essbaseconfig.jar com.oracle.wizard.operation.helper.ssl.SslConfigHelper [RESPONSE_FILE=<response file> | DOMAIN_HOME=<%DOMAIN_HOME%>]
ノート:
次のコマンドも使用できます。
%ORACLE_HOME%\essbase\bin\ssl_config.cmd [RESPONSE_FILE=<response file> | DOMAIN_HOME=<%DOMAIN_HOME%>]
- ウォレットとキーストアのパスワードは変更されないため、Essbaseを起動するには単にWebLogicを実行します。Essbaseを開始します。サーバーの停止、開始および確認を参照してください。
Linuxの場合:
${DOMAIN_HOME}/esstools/bin/start.sh
Windowsの場合:
%DOMAIN_HOME%\esstools\bin\start.cmd
Essbase 21.2または21.3以降用のSSL対応モードの設定
Essbaseが暗号化モードの21.1バージョンで構成されている場合は、Essbase 21.2または21.3以降へのパッチ適用後に、次のステップを使用してssl対応モードを設定する必要があります。
- wlstを呼び出します。
Linuxの場合:
${ORACLE_HOME}/oracle_common/common//bin/wlst.sh ${ORACLE_HOME}/essbase/modules/oracle.essbase.sysman/scripts/ssl_settings.py ${DOMAIN_HOME} ${DOMAIN_HOME}/security/keystore.jks ${DOMAIN_HOME}/config/fmwconfig/ovd/default/keystores/adapters.jksssl ${DOMAIN_HOME}/config/fmwconfig/essconfig/essbase/walletssl/certwallet.pem <FQDN> <ssl Admin Port> <<EOF Password1 Password1 EOF
- 21.2の場合は、
<FQDN>
のかわりに次を使用します。
"https://<FQDN>:<Essbase Server SSL Port>/essbase/agent
- 21.3以降の場合は、純粋なFQDNホストにします。
Windowsの場合:
%ORACLE_HOME%\oracle_common\common\bin\wlst.cmd %ORACLE_HOME%\essbase\modules\oracle.essbase.sysman\scripts\ssl_settings.py %ORACLE_HOME%\security\keystore.jks %ORACLE_HOME%\config\fmwconfig\ovd\default\keystores\adapters.jksssl %ORACLE_HOME%\config\fmwconfig\essconfig\essbase\walletssl\certwallet.pem <FQDN> <ssl Admin Port>
このコマンドにより、パスワードの入力が求められます。
- 21.2の場合は、
- 次のように変更します。
Linuxの場合:
${DOMAIN_HOME}/bin/setStartupEnv.sh
を編集します。部分文字列-Djavax.net.ssl.trustStoreを見つけて、この行を行末まで変更します(${DOMAIN_HOME}
を拡張します)。-Djavax.net.ssl.trustStore=${DOMAIN_HOME}/config/fmwconfig/essconfig/essbase/walletssl/cacerts -Dweblogic.security.SSL.ignoreHostnameVerification=true
Windowsの場合:
%ORACLE_HOME%\bin\setStartupEnv.cmd
を編集します。部分文字列-Djavax.net.ssl.trustStoreを見つけて、この行を行末まで変更します(%DOMAIN_HOME%
を拡張します)。-Djavax.net.ssl.trustStore=%ORACLE_HOME%\config\fmwconfig\essconfig\essbase\walletssl\cacerts -Dweblogic.security.SSL.ignoreHostnameVerification=true
- 次のように変更します。
Linuxの場合:
${DOMAIN_HOME}/bin/setWlstEnv.sh
を次のように編集します(${DOMAIN_HOME}を拡張します)。export WLST_PROPERTIES="-Dweblogic.ssl.JSSEEnabled=true -Dweblogic.security.SSL.enableJSSE=true -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.security.CustomTrustKeyStoreType=JKS -Dweblogic.security.TrustKeyStore=CustomTrust -Dweblogic.security.CustomTrustKeyStoreFileName=${DOMAIN_HOME}/config/fmwconfig/ovd/default/keystores/adapters.jks -Djavax.net.ssl.trustAnchors=${DOMAIN_HOME}/config/fmwconfig/ovd/default/keystores/adapters.jks" export API_CAINFO=${DOMAIN_HOME}/config/fmwconfig/essconfig/essbase/walletssl/certwallet.pem
Windowsの場合: 同様に、
%ORACLE_HOME%\bin\setWlstEnv.cmd
を編集しますexport WLST_PROPERTIES="-Dweblogic.ssl.JSSEEnabled=true -Dweblogic.security.SSL.enableJSSE=true -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.security.CustomTrustKeyStoreType=JKS -Dweblogic.security.TrustKeyStore=CustomTrust -Dweblogic.security.CustomTrustKeyStoreFileName=%DOMAIN_HOME%\config\fmwconfig\ovd\default\keystores\adapters.jks -Djavax.net.ssl.trustAnchors=%DOMAIN_HOME%\config\fmwconfig\ovd\default\keystores\adapters.jks" export API_CAINFO=%DOMAIN_HOME%\config\fmwconfig\essconfig\essbase\walletssl\certwallet.pem
- 次のように、コード行を追加します。
Linuxの場合、次のコード行を
${DOMAIN_HOME}/nodemanager/nodemanager.properties
に追加します(${DOMAIN_HOME}を拡張します)。KeyStores=CustomIdentityAndCustomTrust CustomIdentityKeystoreType=jks CustomIdentityKeyStoreFileName=${DOMAIN_HOME}/security/keystore.jks CustomIdentityKeyStorePassPhrase=Password1 CustomIdentityPrivateKeyPassPhrase=Password1 CustomIdentityAlias=ssl CustomTrustKeystoreType=jks CustomTrustKeyStoreFileName=${DOMAIN_HOME}/config/fmwconfig/ovd/default/keystores/adapters.jks CustomTrustKeyStorePassPhrase=Password1
Windowsの場合: 次のコード行を
%DOMAIN_HOME%\nodemanager\nodemanager.properties
に追加します(%DOMAIN_HOME%を拡張します)。KeyStores=CustomIdentityAndCustomTrust CustomIdentityKeystoreType=jks CustomIdentityKeyStoreFileName=%DOMAIN_HOME%\security\keystore.jks CustomIdentityKeyStorePassPhrase=Password1 CustomIdentityPrivateKeyPassPhrase=Password1 CustomIdentityAlias=ssl CustomTrustKeystoreType=jks CustomTrustKeyStoreFileName=%DOMAIN_HOME%\config\fmwconfig\ovd\default\keystores\adapters.jks CustomTrustKeyStorePassPhrase=Password1
- 次のように更新します。
Linuxの場合:
${DOMAIN_HOME}/config/fmwconfig/essconfig/essbase/essbase.cfg
を次の値で更新します。Windowsの場合:
%DOMAIN_HOME%\config\fmwconfig\essconfig\essbase\essbase.cfg
を次の値で更新します。AgentSecurePort 6423 EnableSecureMode true EnableClearMode false ClientPreferredMode SECURE
- 資格証明およびOPSSキー・ストアを更新します。
Linuxの場合: .wlstスクリプトの${DOMAIN_HOME}を実際のパスに置き換えます。
source ${DOMAIN_HOME}/bin/setWlstEnv.sh ${ORACLE_HOME}/oracle_common/common/bin/wlst.sh <<EOF wlAddress='t3s://<fqdn>:<AdminServer SSL port>' wlUser='<user name>' wlPassword='<password>' keystorePath='${DOMAIN_HOME}/config/fmwconfig/essconfig/essbase/walletssl/keystore.jks' connect(wlUser, wlPassword, wlAddress) svc = getOpssService(name='KeyStoreService') svc.importKeyStore(appStripe='essbase', name='internalidentity', password='Password1', aliases='orakey', keypasswords='Password1', type='JKS', permission=true, filepath=keystorePath) svc.importKeyStore(appStripe='essbase', name='internaltrust', password='Password1', aliases='orakey', keypasswords='Password1', type='JKS', permission=true, filepath=keystorePath) updateCred(map='oracle.essbase', key='ssl.passphrase', user='ssl.passphrase', password='Password1') exit()EOF
Windowsの場合: .wlstスクリプトの%DOMAIN_HOME%を実際のパスに置き換えます。
call %DOMAIN_HOME%\bin\setWlstEnv.cmd call %DOMAIN_HOME%\oracle_common\common\bin\wlst.cmd
このコマンドにより、WLSTモードに移行します。その後で、次のコマンドを実行します。
wls:\offline>wlAddress='t3s:\\<fqdn>:<AdminServer SSL port>' wls:\offline>wlUser='<user name>'wls:\offline>wlPassword='<password>' wls:\offline>keystorePath='%DOMAIN_HOME%\\config\\fmwconfig\\essconfig\\essbase\\walletssl\\keystore.jks' wls:\offline>connect(wlUser, wlPassword, wlAddress)wls:\offline>svc = getOpssService(name='KeyStoreService') wls:\offline>svc.importKeyStore(appStripe='essbase', name='internalidentity', password='Password1', aliases='orakey', keypasswords='Password1', type='JKS', permission=true, filepath=keystorePath) wls:\offline>svc.importKeyStore(appStripe='essbase', name='internaltrust', password='Password1', aliases='orakey', keypasswords='Password1', type='JKS', permission=true, filepath=keystorePath) wls:\offline>updateCred(map='oracle.essbase', key='ssl.passphrase', user='ssl.passphrase', password='Password1') wls:\offline>exit()