Provisionar e Configurar Serviços do Oracle Cloud Infrastructure

Um resumo é fornecido aqui do provisionamento e da configuração do Oracle WebLogic Server for OCI e de outros serviços necessários para seus aplicativos de extensão do Oracle Fusion, incluindo SSO (Single Sign-On) e configuração de segurança de serviços Web. Consulte a documentação completa do produto para mais detalhes.

Configuração	Obrigatórias	Observações
Domínio Básico (não JRF)	N/D	nenhum
Configurar Domínio SSL (Pós-criação)	Obrigatórias	nenhum
Configuração do banco de dados	Obrigatórias	nenhum
Autenticação WebLogic do Oracle Identity Cloud Service	Obrigatórias	nenhum
Integrar APIs de Usuário e Grupo do OPSS com o Oracle Identity Cloud Service	Opcional	Obrigatório se o aplicativo estiver usando o Oracle Platform Security Services (OPSS) para criar políticas de autorização
Domínio Ativado por JRF	Obrigatórias	nenhum
Balanceador de Carga e SSL Ativado	Obrigatórias	Deve ser configurado como um Balanceador de Carga público. Além disso, você precisará obter um certificado de CA e importá-lo para o seu Balanceador de Carga.
Pareamento de VCN Local	Opcional	Obrigatório se as VCNs do Oracle WebLogic Server for OCI e as instâncias do banco de dados forem diferentes.
Versão Mínima do Oracle WebLogic Server	Obrigatórias	12.2.1.3 ou superior
Sub-rede Privada do Domínio WLS	Opcional	nenhum
Edição do Oracle WebLogic Server	Obrigatórias	Enterprise Edition
Nós do Servidor Oracle WebLogic Server	Obrigatórias	Mínimo 1, máximo 8. O Oracle Java Cloud Service - SaaS Extension suporta 1, 2 ou 4 nós.
Forma de VMs Weblogic	Obrigatórias	1 OCPU/8 GB de RAM ou maior formato.

Executar Etapas de Pré-requisito para Implantação do Oracle WebLogic Server for OCI

Vários pré-requisitos são necessários para que você possa implantar o Oracle WebLogic Server for OCI.

A documentação do Oracle WebLogic Server for OCI fornece informações detalhadas sobre os pré-requisitos de configuração necessários para implantar o Oracle WebLogic Server for OCI. Este é um resumo das etapas de pré-requisitos com alguns requisitos-chave. Verifique a documentação do produto Oracle WebLogic Server for OCI para obter detalhes sobre cada escolha, requisito e etapa.

Crie um banco de dados no Oracle Cloud Infrastructure.
Um domínio ativado para JRF suporta o Oracle Application Development Framework (ADF). Quando você cria um domínio com o Oracle WebLogic Server for OCI e o associa a um banco de dados existente, o Oracle WebLogic Server for OCI faz o seguinte:
- Provisiona os esquemas para suportar os componentes do JRF no banco de dados selecionado
- Provisiona origens de dados no domínio que fornecem conectividade ao banco de dados selecionado
- Implanta os componentes e bibliotecas JRF no domínio
Escolha uma destas opções de banco de dados:
- Oracle Autonomous Transaction Processing (recomendado)
- Sistemas de BD Bare Metal e Máquina Virtual suportados pela Oracle Cloud Infrastructure
Verifique a documentação do produto Oracle WebLogic Server for OCI para obter detalhes.
O Oracle WebLogic Server for OCI pode criar uma Rede Virtual na Nuvem e uma ou mais sub-redes no Oracle Cloud Infrastructure para um novo domínio do Oracle WebLogic Server ou você pode optar por criar sua própria VCN e sub-rede(s) manualmente, antes de criar um domínio.
A Oracle recomenda criar seu Oracle WebLogic Server for OCI em uma sub-rede privada por motivos de segurança. Crie uma sub-rede para o nó bastion.
1. Para acessar a Console de Administração do Oracle WebLogic Server e o painel do Oracle Enterprise Manager, crie um túnel de porta dinâmico com o nó bastion e use um proxy SOCKS5 com a porta selecionada.
2. Acesse a Console de Administração do Oracle WebLogic Server em uma sub-rede privada.
  As instâncias de computação do Oracle WebLogic Server designadas a uma sub-rede privada não são acessíveis pela Internet pública. Para acessar a Console de Administração do Oracle WebLogic Server para administrar essas instâncias, você pode usar a instância bastion criada em uma sub-rede pública e no encaminhamento dinâmico de portas com um utilitário SSH (Secure Shell).
3. Da mesma forma, acesse a Console de Controle do Fusion Middleware em uma sub-rede privada, novamente usando a instância bastion com encaminhamento de porta dinâmico.
4. Crie uma regra de roteamento para permitir que as instâncias do serviço Compute do Oracle WebLogic Server for OCI acessem a Internet pública. Na Tabela de Roteamento da sua sub-rede privada, crie uma regra com Destino 0.0.0.0/0, Tipo de Destino Gateway NAT.
Na instância do Oracle Identity Cloud Service associada à sua instância do Oracle Fusion Applications, crie uma Aplicação Confidencial e identifique o ID do cliente e o segredo do cliente.
1. Na console do Oracle Identity Cloud Service, selecione a guia Aplicativo, clique em Adicionar e, na janela Adicionar Aplicativo, selecione Aplicação Confidencial.
2. Na página Detalhes, dê um nome ao novo aplicativo. Outros detalhes são opcionais.
3. Na página Cliente, selecione Configurar esta Aplicação como Cliente Agora.
4. Em Autorização, ative os seguintes Tipos de Concessão Permitidos: Proprietário do Recurso, Credenciais do Cliente e Asserção JWT.
5. Clique em Próximo e, na página Autorização, clique em Finalizar para salvar o aplicativo.
6. Faça uma cópia do ID do cliente e do segredo do cliente na caixa de notificação Aplicativo Adicionado.
7. Agora que a aplicação foi criada e salva, clique na guia Configuração e expanda a seção Configuração do Cliente.
8. Na Política de Emissão de Token, na subseção Conceder ao cliente acesso às APIs de Administração do Identity Cloud Service, clique no botão Adicionar e selecione a atribuição Administrador do Domínio de Identidade.
9. Clique em Salvar.
10. Ative o novo aplicativo. Selecione Aplicativos e, em seguida, selecione o aplicativo. Clique em Ativar ao lado do nome da aplicação.
Preparar segredos do Vault: uma chave de criptografia e segredos para senhas.
Uma chave de criptografia permite criptografar o conteúdo dos segredos necessários para o Oracle WebLogic Server for OCI. Você pode usar uma chave existente ou usar o Oracle Cloud Infrastructure Vault para criar um vault e uma chave de criptografia.
Use segredos no Oracle Cloud Infrastructure Vault para armazenar as senhas necessárias para criar um domínio no Oracle WebLogic Server for OCI. Você deve fornecer segredos para estas senhas:
- Senha do administrador do novo domínio
- Senha do administrador do banco de dados
- Segredo do cliente da Aplicação Confidencial criada no Oracle Identity Cloud Service para autenticação
1. Crie uma instância de serviço do Vault na console do Oracle Cloud Infrastructure, selecionando Vault, na área Segurança.
2. Crie uma chave de criptografia. Selecione sua Instância do Vault e clique em Chave de Criptografia Mestre.
3. Para criar segredos para as senhas mencionadas acima, navegue até o Vault que contém sua chave de criptografia. Execute as etapas a seguir para cada um dos segredos que você precisa criar.
4. Clique em Secrets e, em seguida, clique em Create Secret.
5. Informe um nome para identificar o segredo.
6. Selecione sua chave de criptografia.
  A chave é usada para criptografar o conteúdo secreto enquanto eles são importados para o Vault.
7. Em Conteúdo Secreto, informe a senha que deseja armazenar neste segredo.
  Certifique-se de que a senha atenda às regras da conta com a qual ela será usada. As senhas informadas em texto sem formatação são codificadas em base64 antes de serem enviadas para o Oracle WebLogic Server for OCI.
8. Clique em Criar Segredo.
9. Quando o segredo for criado, clique no nome. Copie o OCID do segredo.

Criar uma Instância do Oracle WebLogic Server for OCI

Crie uma instância de domínio ativada para JRF do Oracle WebLogic Server for OCI para hospedar seus aplicativos Java.

A documentação do Oracle WebLogic Server for OCI fornece informações detalhadas sobre as etapas para criar sua instância do Oracle WebLogic Server for OCI. Este é um resumo das etapas. Verifique a documentação do produto Oracle WebLogic Server for OCI para obter detalhes sobre cada etapa.

No Marketplace, crie uma pilha informando parâmetros que criam automaticamente um domínio. Ao criar um domínio ativado para JRF, especifique um banco de dados Oracle Autonomous Transaction Processing ou Oracle Cloud Infrastructure Database. Você também pode especificar uma sub-rede pública (regional ou específica do domínio de disponibilidade) ou uma sub-rede privada para o domínio. Especifique o Oracle WebLogic Server 12c como a versão de um domínio ativado para JRF se você pretende usar um banco de dados Oracle Autonomous Transaction Processing.

Use o Marketplace para especificar informações iniciais da pilha. Na console do Oracle Cloud Infrastructure, navegue até a seção Marketplace e selecione Aplicações.
No campo Pesquisar, digite Oracle WebLogic Server Cloud e selecione a Pilha desejada para criar.
As opções de pilha correspondem a diferentes edições e ofertas de licença. O Oracle pode alterar as ofertas disponíveis de tempos em tempos. No momento desta publicação, a Oracle ofereceu as opções Traga Sua Própria Licença (BYOL) e UCM (Universal Credit Model). Por exemplo: Enterprise Edition BYOL, Standard Edition BYOL ou Enterprise Edition UCM.
No menu pop-up, selecione sua versão preferida e selecione seu Compartimento de destino. Confirme se você revisou e aceitou os Termos e Restrições Padrão do Oracle marcando a caixa de seleção e, em seguida, clique em Iniciar Pilha.
Na etapa Informações da Pilha, você pode alterar o nome default, adicionar uma descrição e aplicar tags. Depois, clique em Próximo.
Na página Configurar Variáveis do assistente, configure parâmetros da instância. Você precisará especificar o prefixo do nome do recurso e uma forma e contagem de OCPUs para instâncias de computação. Informe a chave pública SSH, selecione o número de servidores gerenciados que você deseja criar, um nome de usuário para o administrador do Oracle WebLogic Server e o OCID do segredo que contém a senha para este administrador.
Na mesma página, selecione Configuração Avançada da Instância do WLS e defina parâmetros avançados para um domínio. Você pode alterar os números de porta padrão e remover o aplicativo de amostra aqui.
Selecione as VCNs que você criou para sua instância do Oracle WebLogic Server. Configure parâmetros de rede e portas da console do WebLogic Server, conforme necessário.
Selecione Provisionar Balanceador de Carga e configure a rede do balanceador de carga para HTTPS.
Você pode achar que o valor de timeout padrão causa problema. A Oracle sugere a definição do timeout do Balanceador de Carga para 60 segundos como ponto de partida e, em seguida, o ajuste, se necessário. Após a conclusão do provisionamento do Oracle WebLogic Server for OCI, navegue até o Balanceador de Carga na console do Oracle Cloud Infrastructure e altere as definições de configuração.
Selecione Ativar Autenticação Usando o Identity Cloud Service. Informe o nome do tenant, que também é referido como o ID da instância. Informe o ID do cliente da Aplicação Confidencial criada anteriormente e informe o OCID do segredo que contém o segredo do cliente dessa aplicação.
Na seção Banco de Dados, selecione Provisionar com JRF e, em seguida, informe os detalhes do banco de dados que você criou anteriormente. O banco de dados não é para dados da aplicação - ele contém os esquemas de infraestrutura necessários para o domínio ativado por JRF. Você precisará fornecer o compartimento, o banco de dados, o VCN se ele for diferente do WebLogic Server VCN e o OCID do segredo que contém a senha da conta do administrador do banco de dados.
Verifique o resumo no assistente e, em seguida, clique em Criar.

Criar uma Origem de Banco de Dados para Dados do Aplicativo

Crie uma origem de banco de dados para armazenar dados de seus aplicativos Java que serão executados no Oracle WebLogic Server for OCI.

Você pode optar por usar o Oracle Autonomous Transaction Processing ou o Oracle Cloud Infrastructure Database (Sistema de BD) para armazenar os dados do aplicativo.

O Oracle WebLogic Server for OCI fornece dois scripts do utilitário para ajudá-lo a criar origens de dados do Oracle Autonomous Transaction Processing: um script de download que faz download dos arquivos da wallet para um nó e um script de criação que cria a origem de dados usando os arquivos da wallet e as propriedades da origem de dados que você fornecer. Para executar os scripts, você precisa acessar os nós no domínio WebLogic como o usuário opc. Os scripts estão localizados em /opt/scripts/utils e só podem ser executados como o usuário oracle.

Use a Console de Administração do Oracle WebLogic Server para criar uma origem de dados e estabelecer uma conexão com um Oracle Cloud Infrastructure Database (Sistema de BD). Depois de verificar o nome do PDB do Sistema de BD, use a Console de Administração do Oracle WebLogic Server para criar uma origem de dados JDBC (Java Database Connectivity).

Independentemente da origem de dados usada, o banco de dados deve permitir que as instâncias de computação do Oracle WebLogic Server acessem a porta de listening do banco de dados (1521 por default). Atualize sua ACL (access control list), se necessário.

Os detalhes dessas etapas de criação e configuração da origem do banco de dados estão na documentação do produto Oracle WebLogic Server for OCI.

Configurar Autenticação Baseada em OAuth no Oracle Identity Cloud Service para Web Services RESTful

Para ativar interações de dados dos Web Services do RESTful, você pode configurar o Oracle Identity Cloud Service para tratar a autenticação baseada em OAuth modificando a Aplicação Confidencial.

Quando o Oracle WebLogic Server for OCI é implantado, ele é registrado na instância do Oracle Identity Cloud Service associada à sua instância do Fusion Applications SaaS, que é federada para single sign-on (SSO), com o Fusion Applications atuando como o provedor de identidades. No entanto, isso só permite a autenticação de passagem do usuário. Para proteger serviços Web baseados em REST, use a troca de token baseada em OAuth entre o Oracle Web Services Manager e o Oracle Identity Cloud Service

Todos os domínios ativados para JRF incluem o Oracle Web Services Manager, que fornece uma estrutura de política para gerenciar e proteger Web services de forma consistente em toda a sua organização. O Oracle Web Services Manager e o Oracle Identity Cloud Service suportam o protocolo OAuth. O cliente do Web service solicita um token de acesso autenticando-se com o servidor de autorização (Oracle Identity Cloud Service) e apresentando a concessão de autorização. O agente do servidor do Oracle Web Services Manager valida o token de acesso e, em seguida, aceita a solicitação do cliente, se for válida.

Configure OAuth para o provedor de serviços Web importando certificados e criando anexos de política global. As etapas detalhadas para configurar o OAuth para o provedor de serviços Web estão na documentação do produto Oracle WebLogic Server for OCI.

Estabeleça confiança entre o Oracle Web Services Manager no domínio do cliente e o Oracle Identity Cloud Service importando certificados e criando anexos de política global. A política global afeta todos os clientes de Web Services implantados neste domínio. Como alternativa, você pode criar políticas para aplicativos individuais.

Estabeleça conexão com o nó do Servidor de Administração no domínio do cliente como o usuário opc.
```
ssh -i <path_to_private_key> opc@<node_public_ip>
```
Mude para o usuário oracle.
```
sudo su - oracle
```

Copie e cole o texto a seguir em um novo arquivo chamado config_owsm_client.py.

def config_policyset(policy_set_name,subject_type):
    try:
        beginWSMSession()
        createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
        attachWSMPolicy(policy)
        setWSMPolicyOverride(policy,'token.uri',token_uri)
        setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
        validateWSMPolicySet(policy_set_name)
    finally:
        commitWSMSession()
        displayWSMPolicySet(policy_set_name)
 
ip='<admin_server_IP>'
port='<admin_server_port>'
user='<admin_user>'
pwd='<password>'
client_id='<idcs_app_client_id>'
client_secret='<idcs_app_client_secret>'
token_uri = '<token_endpoint>'
dn_list = '<dn_list>'

Atualize as variáveis em config_owsm_client.py.
- O endereço IP deste nó
- O número da porta do Servidor de Administração (o default é 7001)
- O nome do usuário e a senha do administrador do domínio
- O ID do cliente e o segredo da aplicação confidencial no Oracle Identity Cloud Service que foi criada para o domínio
- O ponto final do token Oracle Identity Cloud Service
- O nome distinto (DN) a ser usado para o certificado gerado no Oracle Web Services Manager
- O nome da aplicação cliente do Web service disponibilizada para o domínio
Por exemplo:
```
ip='203.0.113.30'
port='7001'
user='weblogic'
pwd='<password>'
client_id='ABCD1234efgh5678IJKL9012'
client_secret='<idcs_app_client_secret>'
token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
app_resource = 'resource=oauth-client'
```

Copie e cole o texto a seguir em config_owsm_client.py e após as declarações de variáveis.

connect(user, pwd,'t3://' + ip + ':' + port)

csf_key = 'idcs.oauth2.client.credentials'
createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)

is_enabled = true
policy = 'oracle/oauth2_config_client_policy'
resource_scope = 'Domain("*")'
desc = ''
config_policyset('oauth-ps-config-rest-connection','rest-connection')
config_policyset('oauth-ps-config-rest-client','rest-client')
config_policyset('oauth-ps-config-ws-connection','ws-connection')
config_policyset('oauth-ps-config-ws-client','ws-client')
config_policyset('oauth-ps-config-ws-callback','ws-callback')
refreshWSMCache()

svc = getOpssService(name='KeyStoreService')
try:
   svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
except Exception, ex:
   ex_msg = str(ex)
   if 'Keystore keystore in stripe owsm already exists' in ex_msg:
      print 'Keystore keystore in stripe owsm already exists. Continue...'
   else:
      raise
svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
 
svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')

Execute config_owsm_client.py usando WLST.

/u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

Verifique se o script foi executado com sucesso, revisando a saída. Por exemplo:

...
Credential created successfully.
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-connection in repository.
Session committed successfully.
...
Session started for modification.
The policy set was created successfully in the session.
Policy reference "oracle/oauth2_config_client_policy" added.
...
Creating policy set oauth-ps-config-rest-client in repository.
Session committed successfully.
...
Keystore created
Key pair generated
Certificate exported.

Altere o proprietário do arquivo de certificado gerado para o usuário opc.
```
exit
sudo chown opc:opc /tmp/orakey.cert
```

Faça download do arquivo de certificado como o usuário opc.

scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

Atualize a aplicação confidencial pré-configurada para o cliente de Web services importando o certificado orakey.cert que você acabou de fazer download e criando um escopo para suas Aplicações Oracle Cloud baseadas em Fusão.
1. Na console do Oracle Identity Cloud Service, no menu de navegação, clique em Aplicações e, em seguida, clique na aplicação confidencial criada para o domínio do cliente.
2. Clique na guia Configuração e, em Configuração do Cliente, selecione Confiável para Tipo de Cliente.
3. Para Certificado, clique em Importar.
4. Para Alias do Certificado, informe um nome exclusivo. Por exemplo, orakey_jh305082020.
5. Selecione o arquivo orakey.cert transferido por download na etapa anterior e clique em Importar.
6. Clique em Adicionar Escopo.
7. Selecione Oracle Applications Cloud (Fusion), com um Escopo semelhante a este exemplo:
  urn:opc:resource:fa:instanceid=201911110urn:opc:resource:consumer::all
8. Clique em Adicionar e depois em Salvar.
É necessário um grantPermission para qualquer aplicativo que consuma serviços REST. WSIdentityPermission precisa ser concedido antes que a propagação de identidade ocorra porque o Oracle WebLogic Server for OCI não permite por padrão e sem ele, um AccessControlException será lançado. Aplique o grantPermission usando wlst. Por exemplo:
```
grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
```
Você pode implantar e validar esta configuração do OAuth com o Oracle WebLogic Server for OCI implantando e testando a amostra do aplicativo cliente de serviço Web, conforme descrito na documentação do produto Oracle WebLogic Server for OCI. Como alternativa, você pode implantar e testar seu próprio aplicativo cliente do serviço Web.

Configurar Serviços do SOAP para Propagação de Identidade

Se sua aplicação Java precisar acessar um ponto final do Oracle Applications SOAP Web Services baseado em Fusão, você deverá executar algumas etapas de configuração manual para configurar a propagação de identidade.

Como a configuração de segurança das interações do Web service do SOAP requer que você entre em contato com o Suporte Técnico da Oracle para obter um certificado, a Oracle recomenda o uso de protocolos do Web service REST sempre que possível. A propagação de identidade do REST é pré-configurada, o que evita essa configuração manual e o requisito de ticket de suporte.

Os WSDLs SOAP do Fusion Applications contêm um certificado X509 em formato binário, que precisa ser importado para a área de armazenamento de chaves do certificado da máquina cliente. Isso é feito para que o aplicativo cliente possa criptografar solicitações de serviço Web para o Fusion Applications e que o ambiente do Fusion Applications possa decriptografar a solicitação com sucesso. Além disso, é necessário gerar um certificado na máquina cliente e importá-lo para a área de armazenamento de chaves do certificado do ambiente do Fusion Applications. O Suporte Técnico da Oracle pode ajudar na importação do certificado para um ambiente do Fusion Applications.

Os dois certificados permitem SSL bidirecional, que é um requisito da implementação SAML no Fusion Applications e faz parte da especificação WS-Security 1.1.

Para configurar seu ambiente para propagação de identidade para Web Services SOAP, você usará o Oracle WebLogic Server for OCI como um Cliente SOAP e o seu serviço Fusion Applications será um Serviço SOAP. Você usará Políticas do Oracle Web Services Manager (OWSM) para propagação de identidade.

Exporte seu certificado do orakey do Oracle WebLogic Server for OCI.
1. Efetue log-on na console do Oracle Enterprise Manager, por exemplo, navegando para:
  http://<PublicIp>:7001/em
2. Clique em Domínio do WebLogic, selecione Segurança e selecione Área de Armazenamento de Chaves.
3. Na tabela Área de Armazenamento de Chaves, expanda owsm e selecione a linha da área de armazenamento de chaves, clique no botão Gerenciar.
4. Selecione a entrada orakey e anote o valor do Nome do Assunto nessa linha.
5. Clique em Exportar.
  Uma janela Certificado é aberta, mostrando o certificado orakey.
6. Clique em Exportar Certificado e salve o arquivo exportado como orakey_<WLSOCI_NAME>.cert.
Arquive uma solicitação de serviço com o My Oracle Support para estabelecer confiança em seus Fusion Applications.
O Suporte Técnico da Oracle configurará sua instância do Fusion Apps para confiar nas chamadas do WebLogic Server que contêm as informações de certificado que você acabou de exportar. Você precisará fornecer todos os seguintes detalhes:
- Nome do Serviço, Domínio de Identidades e Data Center do Oracle Fusion Applications Cloud Service
- O certificado orakey exportado
- Instruções para o Suporte Técnico da Oracle informando explicitamente sua solicitação. Por exemplo:
Estou abrindo esta SR para solicitar uma troca de certificados para estabelecer confiança e ativar a asserção SAML para WS SOAP entre minha instância do Marketplace do Oracle WebLogic Server for OCI e os serviços de nuvem do Fusion Applications. Anexado é o certificado da minha instância do Oracle WebLogic Server for OCI. Preciso que você importe esse certificado para a minha instância do Fusion Applications e exporte o certificado orakey OWSM e o certificado cloudca do OWSM (os que começam com CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=com) do Fusion Applications e os anexe a esta SR. Além disso, reinicie o Fusion Applications conforme necessário no final para que a troca de certificados entre em vigor.
Monitore seu ticket de suporte e forneça quaisquer informações adicionais solicitadas pelo Suporte Técnico da Oracle. O Suporte Técnico da Oracle adicionará seu certificado à Área de Armazenamento de Chaves da instância do Fusion Applications e configurará o Issuer Trust para ativar a Asserção SAML para Web services SOAP. O Suporte Técnico da Oracle notificará você quando a tarefa for concluída e enviará uma cópia de:
- Seu certificado OWSM orakey dos aplicativos Oracle Fusion
- Seu certificado OWSM cloudca dos aplicativos Oracle Fusion
Esses certificados serão necessários para a próxima etapa.
Importe o certificado do Fusion Applications ouakey para o Oracle WebLogic Server for OCI:
1. Efetue log-on na console do Oracle Enterprise Manager, por exemplo, navegando para:
  http://<PublicIp>:7001/em
2. Clique em Domínio do WebLogic, selecione Segurança e selecione Área de Armazenamento de Chaves.
3. Na tabela Área de Armazenamento de Chaves, expanda owsm e selecione a linha da área de armazenamento de chaves, clique no botão Gerenciar e clique em Importar.
4. Na caixa Importar Certificado, selecione Certificado de Confiabilidade. Informe um apelido, como orakey_mysaasenv. Selecione o arquivo que contenha a opção Certificado ou Cadeia de Certificados e clique em Procurar... para selecionar o certificado orakey fornecido a você pelo Suporte Técnico da Oracle.
5. Importe o certificado cloudca da mesma maneira, usando um alias como cloudca_faehyp71.
  Talvez você já tenha um certificado cloudca na tabela, mas ele pode não ser o certificado correto. Após importar o certificado cloudca fornecido a você pelo oracle support, você pode verificar se tem o certificado correto inspecionando seu Nome do Assunto. Ele deve ser semelhante ao exemplo a seguir, apontando para a instância do Fusion Applications:
  
  CN=FAEncryption,DC=cloud,DC=oracle,DC=com

Agora você deve ver seus certificados com seus apelidos listados na tabela Gerenciar Certificados: owsm/keystore.