Oracle
 sql >> Datenbank >  >> RDS >> Oracle

Aktivieren von TLS in R12.1

Inhaltsverzeichnis

Einführung in die Aktivierung von TLS in R12.1

  • Die Daten zwischen Webbrowser und Webserver werden in der R12-Anwendung unverschlüsselt übertragen, sodass das Passwort und andere Informationen vom Sniffer verfolgt werden können. Wir vermeiden dies, indem wir TLS in R12 implementieren.
  • Bei der TLS-Implementierung werden die Daten in verschlüsselter Form übertragen und nur Webbrowser und Webserver können sie entschlüsseln. Die Implementierung erfordert das SSL-Zertifikat und die Konfiguration in der R12-Umgebung   gemäß der Konfiguration

Transport Layer Security (TLS)

Transport Layer Security oder TLS ist der Nachfolger von SSL. TLS ist wie SSL ein Protokoll, das den Datenverkehr zwischen einem Client und einem Server verschlüsselt. TLS stellt eine verschlüsselte Verbindung zwischen zwei Computern her, die es ermöglicht, private Informationen ohne die Probleme des Abhörens, der Datenmanipulation oder der Fälschung von Nachrichten zu übertragen.

Was ist SSL?

SSL ist eine Technologie, die die wesentlichen Funktionen der gegenseitigen Authentifizierung, Datenverschlüsselung und Datenintegrität für sichere Transaktionen definiert. Der Datenaustausch zwischen dem Client und dem Server bei solchen sicheren Transaktionen soll das Secure Sockets Layer (SSL) verwenden. Dies wurde zugunsten der bevorzugten TLS-Referenz für die Zukunft verworfen.

Funktionsweise von SSL/TLS

  1. Der Client sendet im HTTPS-Verbindungsmodus eine Anfrage an den Server.
  2. Der Server präsentiert dem Client sein digitales Zertifikat. Dieses Zertifikat enthält die identifizierenden Informationen des Servers wie Servername, Organisation und öffentlicher Serverschlüssel sowie digitale Signatur des privaten CA-Schlüssels
  3. Der Client (Webbrowser) hat die öffentlichen Schlüssel aller CA. Es entschlüsselt den privaten Schlüssel des digitalen Zertifikats. Diese Überprüfung beweist, dass der Absender Zugriff auf den privaten Schlüssel hatte und daher wahrscheinlich die Person ist, die dem öffentlichen Schlüssel zugeordnet ist. Wenn die Überprüfung erfolgreich verläuft, wird der Server als vertrauenswürdiger Server authentifiziert.
  4. Der Client sendet dem Server eine Liste der Verschlüsselungsstufen oder Chiffren, die er verwenden kann.
  5. Der Server empfängt die Liste und wählt die stärkste gemeinsame Verschlüsselungsstufe aus.
  6. Der Client verschlüsselt eine Zufallszahl mit dem öffentlichen Schlüssel des Servers und sendet das Ergebnis an den Server (das nur der Server mit seinem privaten Schlüssel entschlüsseln können sollte); beide Parteien verwenden dann die Zufallszahl, um einen eindeutigen Sitzungsschlüssel für die anschließende Verschlüsselung und Entschlüsselung von Daten während der Sitzung zu generieren

Aus den obigen Schritten geht also hervor, dass wir ein digitales Zertifikat für den Webserver benötigen .

Wichtiger Hinweis
Wir haben zuvor auch den Artikel gelesen
SSL oder TLS in Oracle Apps R12 aktivieren

  • Der obige Artikel enthält die Implementierungsschritte für SSL V3/TLS1.0 mit Oracle Apps R12.0 und R12.1 Version.
  • Dieser Artikel behandelt speziell die Schritte für die Implementierung von TLS 1.0/1.1/1.2 in R12.1

Die Aktivierung von TLS in R12.1 hängt von der Topologie der R12-Implementierung ab. Ich hebe hier alle wichtigen hervor.

  • Eine einzelne Webserver-Bereitstellung.

Das ist ziemlich einfach. Wir benötigen das digitale Zertifikat für den Webserver. Die Schritte sind geradeaus. Der Datenverkehr zwischen Webbrowser und Webserver wird verschlüsselt

  • Einen Load-Balancer zu haben, der 2 oder mehr Webserver bedient, macht es etwas komplizierter

In diesem Fall könnten wir folgende Optionen haben

  • Ende-zu-Ende-Verschlüsselung des Datenverkehrs

Der gesamte Datenverkehr, d. h. vom Browser zum Load Balancer und vom Load Balancer zum Webserver, ist verschlüsselt

Dafür gibt es zwei Möglichkeiten

  1. Pass-Through-Konfiguration :Die Lastverteilung entschlüsselt/verschlüsselt in diesem Fall die Nachricht nicht, sondern leitet nur den Datenverkehr zum Webserver weiter
  2. Entschlüsselung/Verschlüsselung :Der Lastausgleich entschlüsselt in diesem Fall den Datenverkehr auf der Ebene des Lastausgleichs und verschlüsselt ihn dann erneut und sendet ihn an den Webserver, der ihn erneut entschlüsselt
  • SSL-Terminator:Der Datenverkehr zwischen Webbrowser und Loadbalancer wird nur verschlüsselt. Der Load-Balance fungiert als SSL-Terminator und beendet das SSL auf Load-Balancer-Ebene und leitet den unverschlüsselten Datenverkehr an den Webserver weiter.

Schritte zum Aktivieren von TLS in R12.1 in jeder Topologie sind unten aufgeführt

Eine einzelne Webserver-Bereitstellung

Schritt 0 :Voraussetzung

1) Führen Sie ein Upgrade auf mindestens Java Development Kit (JDK) 7 durch.
Befolgen Sie dazu die Anweisungen in My Oracle Support Document 1467892.1, Using JDK 7.0 Latest Update with Oracle E-Business Suite Release 12.0 and 12.1.
2) – Aktualisieren Sie auf Oracle HTTP Server (OHS) 10.1.3.5.
Befolgen Sie dazu die Anweisungen in My Oracle Support Knowledge Document 454811.1, Upgrade to the Latest Oracle AS 10g 10.1.3.x Patch Festgelegt in Oracle E-Business Suite Release 12.
3) – Wenden Sie die CPU vom Oktober 2015 oder eine neuere CPU auf Oracle Fusion Middleware 10.1.3.5 an.
Laden Sie Patch 21845960 für UNIX oder Patch 21845962 für Windows von My herunter Oracle Support und befolgen Sie die Anweisungen in Dokument 2051000.1, Oracle E-Business Suite Releases 11i und 12 Critical Patch Update Knowledge Document (Oktober 2015).
4) – Wenden Sie plattformspezifische Updates an.
Für AIX und HP Nur Itanium, wenden Sie auch Patch 21948197 auf Oracle Fusion Middleware 10.1.3.5 an.
Nur für Windows:Wenden Sie auch Patch 22251660 auf Oracle Fusion Middle an ware 10.1.3.5.
5) – Wenden Sie Patch 22447165 und 22458773 auf Oracle Fusion Middleware 10.1.3.5 an.
6) – Wenden Sie produktspezifische Patches an.
•Oracle Workflow – Wenden Sie Patch 22974534 an:R12.OWF.B, um ein Problem mit dem Oracle Workflow Notification Mailer zu beheben.
•Oracle iProcurement – ​​Wenden Sie die Patches an, die in My Oracle Support Knowledge Document 1937220.1, Punch-out in Oracle iProcurement and Exchange Fails After Supplier Site Migrates From SSLv3 to erwähnt werden TLS-Protokoll (mit SSL-Handshake SSLIOClosedOverrideGoodbyeKiss), die der entsprechenden Anwendungsversion entsprechen.
•Oracle iPayment – ​​Stellen Sie sicher, dass Sie die in Dokument 1573912.1, All About Oracle Payments Release 12 Wallets and Payments Data Encryption aufgeführten Anforderungen für die Zahlungskonfiguration erfüllen . Wenden Sie außerdem Patch 22724663:R12.IBY.B an.
•Oracle XML Gateway – Informationen zu Patchanforderungen für Oracle E-Business Suite Release 12.1 finden Sie in Dokument 1961140.1, Konfigurieren von Oracle XML Gateway für die SSL/TLS-Authentifizierung in Oracle E -Business Suite-Version 12.1. Wenden Sie außerdem Patch 22922530:R12.ECX.B.

an

Schritt 1

Legen Sie Ihre Umgebung fest

  1. Melden Sie sich bei der Anwendungsebene als Betriebssystembenutzer an, dem die Dateien der Anwendungsebene gehören.
  2. Beziehen Sie Ihre Umgebungsdatei der Anwendungsebene (APPS.env) aus dem Verzeichnis APPL_TOP.
  3. Navigieren Sie zu $INST_TOP/ora/10.1.3 und beziehen Sie die Datei .env, um Ihre 10.1.3 ORACLE_HOME-Variablen festzulegen.
  4. Gehen Sie in das Verzeichnis $INST_TOP/certs/Apache

Erstellen Sie eine hostspezifische OpenSSL-Konfigurationsdatei in diesem Verzeichnis wie folgt

cat new.cnf
[req]
prompt = no
default_md = sha256
distinguished_name = dn
req_extensions = ext
[dn]
CN = www.example.com
O = Example Inc
OU = Key Team
L = San Diego
ST = California
C = US
[ext]
subjectAltName = DNS:www.example.com,DNS:example.com

Erklärung

[req]
prompt = no                do not prompt
default_md = sha256      the default message digest should be sha256 based
distinguished_name = dn   get the Distinguished Name from the [dn] section
req_extensions = ext     get the extensions from the [ext] section
[dn]
CN = www.example.com        set Common Name to your full hostname
O = Example Inc             set the Organization to your company name
OU = Key Team               set Organizational Unit to any team or division within your company
L = San Diego               set Location to the city of your company's head quarters
ST = California             set State to the state or province or territory of your company's head quarters
C = US                       set Country to the ISO country code of the county
[ext]
subjectAltName = DNS:www.example.com,DNS:example.com        specify alternate hostnames.If the hostname of your site is WWW.<domain> also add the domain without the leading WWW. here.Otherwise just repeat the Common Name.

 In unserem Fall wäre die Datei

cat new.cnf 
[req]
prompt = no
default_md = sha256
distinguished_name = dn
req_extensions = ext
[dn]
CN = www.techgoeasy.com
O = techgoeasy
OU = tech
L = Los Angles
ST = California
C = US
[ext]
subjectAltName = DNS: www.techgoeasy.com,DNS:techgoeasy.com

  Wenn Sie sich erinnern, ist dies ähnlich wie bei Wallet mit SSL

Schritt 2 Erstellen Sie die CSR-Datei für die Zertifizierungserstellung
(a) PATH aktualisieren

PATH=$<10.1.3 OH>/Apache/open_ssl/bin:$PATH

(b) Stellen Sie sicher, dass LD_LIBRARY_PATH einen Pfad zu Ihrer Oracle Fusion Middleware 10.1.3 ORACLE_HOME/lib enthält.

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:< FMW 10.1.3 ORACLE_HOME>/lib

(c) Führen Sie nun den folgenden Befehl aus:

openssl req -newkey rsa:2048 -nodes -keyout server.key -sha256 -out new.csr -config new.cnf

Senden Sie die CSR an die Zertifizierungsstelle, um das Zertifikat zu erhalten

Wir verwenden hier kein Oracle Wallet

Schritt 3 Serverzertifikat und Zertifikatskettendateien von der Zertifizierungsstelle erhalten.

Von der Zertifizierungsstelle erhalten Sie Folgendes:

1)Ein CA-signiertes Serverzertifikat

2)Das Zertifikat der Root-CA

3)Die Zertifikate aller erforderlichen Zwischen-CAs

Wenn Sie nur eine Datei erhalten, können Sie diese Dateien mit der folgenden Methode erstellen

Erstellen des Zertifikats Ihrer Zertifizierungsstelle

So erstellen Sie ca.crt

  1. Kopieren Sie server.crt mit einer der folgenden Methoden auf Ihren PC (falls erforderlich):

ftp (im Binärmodus) server.crt auf Ihren PC

Kopieren Sie den Inhalt von server.crt und fügen Sie ihn in den Editor auf dem PC ein. Speichern Sie die Datei als server.crt

  1. Doppelklicken Sie auf server.crt, um es mit der Cyrpto Shell-Erweiterung zu öffnen.
  2. Klicken Sie auf der Registerkarte Zertifizierungspfad auf die erste (oberste) Zeile und dann auf Zertifikat anzeigen.
  3. Klicken Sie auf der Registerkarte "Details" auf "In Datei kopieren". Dadurch wird der Exportassistent gestartet.
  4. Klicken Sie auf "Weiter", um fortzufahren.
  5. Wählen Sie Base64-codiertes X.509 (.CER) und klicken Sie auf „Weiter“.
  1. Klicken Sie auf Durchsuchen und navigieren Sie zum Verzeichnis Ihrer Wahl.
  2. Geben Sie ca.crt als Namen ein und klicken Sie auf OK, um das Zertifikat zu exportieren.
  3. Schließen Sie den Assistenten.
  4. Kopieren Sie ca.crt mit einer der folgenden Methoden zurück in Ihr Wallet-Verzeichnis (falls erforderlich):

ftp (im Binärmodus) ca.crt in Ihr Wallet-Verzeichnis der Anwendungsebene. Kopieren Sie den Inhalt von ca.crt und fügen Sie ihn mit einem Texteditor in eine neue Datei im Wallet-Verzeichnis Ihrer Anwendungsebene ein. Speichern Sie die Datei als ca.crt

Platzieren Sie die obigen Dateien in demselben Verzeichnis, das Ihren privaten Serverschlüssel enthält:server.key.

Sie sollten sicherstellen, dass die Serverzertifikatsdatei server.crt heißt, das CA-Stammzertifikat ca.crt heißt und sich die Zwischenzertifikate in einer Datei namens intermediate.crt befinden.
Wenn Sie kein Zwischenzertifikat haben , führen Sie den folgenden Befehl aus, um eine leere Datei „intermediate.crt“ zu erstellen

echo -n > intermediate.crt

Vergewissern Sie sich, dass Ihr Verzeichnis $INST_TOP/certs/Apache die folgenden Dateien enthält

server.key
new.csr
server.crt
intermediate.crt
ca.crt

Erstellen Sie eine Zertifikatsdatei für OPMN, die das Serverzertifikat und alle Zwischenzertifikate enthält, indem Sie Folgendes ausführen:

cat server.crt intermediate.crt ca.crt> opmn.crt

Schritt 4  Aktualisieren Sie die Kontextdatei

  Verwenden Sie den Kontext-Editor von E-Business Suite – Oracle Applications Manager (OAM), um die SSL-bezogenen Variablen wie in dieser Tabelle gezeigt zu ändern:

SSL-bezogene Variablen in der Kontextdatei
Variable Nicht-SSL-Wert SSL-Wert
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport dasselbe wie s_webport gleich wie s_webssl_port
s_webssl_port nicht anwendbar Standard ist 4443
s_https_listen_parameter nicht anwendbar gleich wie s_webssl_port
s_login_page URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port
s_external_url URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port
 

Schritt 5 Zusätzliche Konfiguration durchführen .

Kopieren Sie die Originaldateien von /admin/template nach /admin/template/custom, wenn das benutzerdefinierte Verzeichnis oder eine der benutzerdefinierten Vorlagendateien nicht bereits vorhanden ist. Aktualisieren Sie diese benutzerdefinierten Dateien wie unten dokumentiert.

/admin/template/custom/opmn_xml_1013.tmp


Replace this line in the template:
<ssl enabled="true" wallet-file="%s_web_ssl_directory%/opmn"/>
With the following:
<ssl enabled="true" openssl-certfile="%s_web_ssl_directory%/Apache/opmn.crt" openssl-keyfile="%s_web_ssl_directory%/Apache/server.key" openssl-password="dummy" openssl-lib="%s_weboh_oh%/lib" ssl-versions="TLSv1.0,TLSv1.1,TLSv1.2" ssl-ciphers="AES128-SHA,DES-CBC3-SHA"/>

D_TOP>/admin/template/custom/httpd_conf_1013.tmp

The instructions here are to comment out one line and to add a new line to reference mod_ssl.so.  
Modify the following
<IfDefine SSL> 
LoadModule ossl_module libexec/mod_ossl.so
</IfDefine>
To the following:
<IfDefine SSL> 
#LoadModule ossl_module libexec/mod_ossl.so
LoadModule ssl_module libexec/mod_ssl.so
</IfDefine>

D_TOP>/admin/template/custom/ssl_conf_1013.tmp (für UNIX)

Step 1 - Comment out the following line in the template:  
 #SSLWallet file:%s_web_ssl_directory%/Apache 
Step 2 - Add the following 3 lines into the template: 
SSLCertificateFile %s_web_ssl_directory%/Apache/server.crt 
SSLCertificateKeyFile %s_web_ssl_directory%/Apache/server.key 
SSLCertificateChainFile %s_web_ssl_directory%/Apache/intermediate.crt 
Step 3 - Replace the following: 
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM 
With the following: 
SSLCipherSuite HIGH:MEDIUM:!aNULL:!RC4:!SEED:!IDEA:!CAMELLIA:+HIGH:+MEDIUM 
tep 4 - Replace the following: 
SSLProtocol    -all +TLSv1 +SSLv3 
With the following: SSLProtocol all -SSLv2 -SSLv3 

Schritt 6 Führen Sie eine zusätzliche Konfiguration durch, um TLS1.1 und TLS 1.2 zu aktivieren

Die folgende Änderung aktiviert die Protokolle TLS 1.1 und TLS 1.2, die in Java 7 standardmäßig nicht aktiviert sind.

Kopieren Sie die in der folgenden Tabelle aufgeführten Originaldateien von /admin/template nach /admin/template/custom, wenn das Verzeichnis custom oder eine der angepassten Vorlagendateien nicht bereits vorhanden ist. Aktualisieren Sie diese benutzerdefinierten Dateien wie unten dokumentiert.

Benutzerdefinierte Vorlagendatei Änderung
/admin/template/custom/oc4j_properties_1013.tmp
/admin/template/custom/oafm_oc4j_properties_1013.tmp
/admin/template/custom/ forms_oc4j_properties_1013.tmp
(
Hinzufügen:

https.protocols=TLSv1,TLSv1.1,TLSv1.2

Schritt 7 Aktualisieren Sie die b64InternetCertificate.txt TrustStores .

Fügen Sie den Inhalt der Datei „ca.crt“ zur Datei „b64InternetCertificate.txt“ hinzu, die sich im Verzeichnis 10.1.2 ORACLE_HOME/sysman/config befindet:

$ cat ca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Schritt 8 – Aktualisieren Sie den cacerts TrustStore .

Wenn Sie Ihr Serverzertifikat von einer kommerziellen Zertifizierungsstelle erworben haben, müssen Sie diesen Schritt höchstwahrscheinlich nicht durchführen, da das Zertifikat der Stammzertifizierungsstelle bereits in cacerts vorhanden ist. Der keytool-Befehl informiert Sie, wenn Sie versuchen, ein Zertifikat hinzuzufügen, das bereits in cacerts vorhanden ist.

Befolgen Sie diese Schritte, um sicherzustellen, dass diese Anforderungen erfüllt sind:

  1. Navigieren Sie zum Verzeichnis $OA_JRE_TOP/lib/security.
  2. Sichern Sie die vorhandene cacerts-Datei.
  3. Kopieren Sie Ihre ca.crt-Dateien in dieses Verzeichnis und führen Sie den folgenden Befehl aus, um sicherzustellen, dass cacerts Schreibberechtigungen hat
$ chmod u+w cacerts

Fügen Sie Ihren Apache ca.crt zu cacerts hinzu:

$ keytool -importcert -alias ApacheRootCA -file ca.crt -v -keystore cacerts

Wenn Sie dazu aufgefordert werden, geben Sie das Keystore-Passwort ein (das Standardpasswort ist „changeit“).

Fügen Sie Ihren Apache ca.crt zu cacerts hinzu:

$ keytool -importcert -alias ApacheRootCA -file ca.crt -v -keystore cacerts

Wenn Sie dazu aufgefordert werden, geben Sie das Keystore-Passwort ein (das Standardpasswort ist „changeit“).

Fügen Sie Ihren Apache ca.crt zu cacerts hinzu:

$ keytool -importcert -alias ApacheRootCA -file ca.crt -v -keystore cacerts

Wenn Sie dazu aufgefordert werden, geben Sie das Keystore-Passwort ein (das Standardpasswort ist „changeit“).

$ chmod u-w cacerts

Schritt 9 – Autoconfig ausführen

Autoconfig kann mithilfe des Skripts adautocfg.sh im Verzeichnis $ADMIN_SCRIPTS_HOME der Anwendungsebene ausgeführt werden.

Schritt 10 – Starten Sie die Dienste der Anwendungsebene neu

Verwenden Sie das Skript adapcctl.sh im Verzeichnis $ADMIN_SCRIPTS_HOME, um die Apache-Dienste auf Anwendungsebene zu stoppen und neu zu starten.

Zu verwendende Schritte, wenn Sie sich für SSL-Terminator entscheiden

Das Erstellen und Installieren von Zertifikaten auf dem Webserver ist nicht erforderlich. In diesem Fall müssen wir nur den unten angegebenen Kontextdateiparameter festlegen

Änderungen bei Verwendung eines SSL Accelerator
Variable Nicht-SSL-Wert SSL-Wert
s_url_protocol http http
s_local_url_protocol http http
s_webentryurlprotocol http https
s_active_webport dasselbe wie s_webport Wert des externen Schnittstellenports des SSL-Beschleunigers
s_webentryhost gleich wie s_webhost SSL Accelerator-Hostname
s_webentrydomain dasselbe wie s_domainname SSL Accelerator-Domänenname
s_enable_sslterminator # Entfernen Sie das „#“, um ssl_terminator.conf in Umgebungen mit SSL-Ende zu verwenden
s_login_page URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll, s_webentryhost, s_webentrydomain, s_active_webport
s_external_url URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll, s_webentryhost, s_webentrydomain, s_active_webport

Autokonfiguration ausführen

Autoconfig kann mithilfe des Skripts adautocfg.sh im Verzeichnis $ADMIN_SCRIPTS_HOME der Anwendungsebene ausgeführt werden.

Starten Sie die Dienste der Anwendungsebene neu

Verwenden Sie das Skript adapcctl.sh im Verzeichnis $ADMIN_SCRIPTS_HOME, um die Apache-Dienste auf Anwendungsebene zu stoppen und neu zu starten.

Schritte für die End-to-End-Verschlüsselung mit Pass-Through-Konfiguration auf Load Balancer

1) Alle für einen einzelnen Webserver angegebenen Schritte müssen ausgeführt werden.

2) Das Zertifikat muss mit dem Load-Balancer-Namen

erstellt werden

3)   Wir können die Zertifikatsschritte auf einem Knoten ausführen und dann alle Schritte auf die anderen Knoten kopieren

Kontextwertänderungen

SSL-bezogene Variablen in der Kontextdatei
Variable Nicht-SSL-Wert SSL-Wert
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport dasselbe wie s_webport gleich wie s_webssl_port
s_webssl_port nicht anwendbar Standard ist 4443
s_https_listen_parameter nicht anwendbar gleich wie s_webssl_port
s_login_page URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port
s_external_url URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port

Autokonfiguration ausführen

Autoconfig kann mithilfe des Skripts adautocfg.sh im Verzeichnis $ADMIN_SCRIPTS_HOME der Anwendungsebene ausgeführt werden.

Starten Sie die Dienste der Anwendungsebene neu

Verwenden Sie das Skript adapcctl.sh im Verzeichnis $ADMIN_SCRIPTS_HOME, um die Apache-Dienste auf Anwendungsebene zu stoppen und neu zu starten.

Schritte für die End-to-End-Verschlüsselung mit Verschlüsselung/Entschlüsselung auf Load Balancer

1) Alle für einen einzelnen Webserver angegebenen Schritte müssen ausgeführt werden.

2) Das Zertifikat muss auch auf Load-Balancer-Ebene und Web-Knoten-Ebene erstellt werden. Es muss auf beiden Seiten mit dem Load-Balancer-Namen

erstellt werden

3)   Wir können die Zertifikatsschritte auf einem Webknoten ausführen und dann alle Schritte auf die anderen Knoten kopieren

4) Der Lastenausgleich sollte das Client-SSL-Zertifikat für das Webknotenzertifikat haben

Kontextwertänderungen

SSL-bezogene Variablen in der Kontextdatei
Variable Nicht-SSL-Wert SSL-Wert
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport dasselbe wie s_webport gleich wie s_webssl_port
s_webssl_port nicht anwendbar Standard ist 4443
s_https_listen_parameter nicht anwendbar gleich wie s_webssl_port
s_login_page URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port
s_external_url URL erstellt mit http-Protokoll und s_webport URL erstellt mit https-Protokoll und s_webssl_port

  Autokonfiguration ausführen

Autoconfig kann mithilfe des Skripts adautocfg.sh im Verzeichnis $ADMIN_SCRIPTS_HOME der Anwendungsebene ausgeführt werden.

Starten Sie die Dienste der Anwendungsebene neu

Verwenden Sie das Skript adapcctl.sh im Verzeichnis $ADMIN_SCRIPTS_HOME, um die Apache-Dienste auf Anwendungsebene zu stoppen und neu zu starten.

Zusätzliche Konfiguration

Einrichtung der Datenbankebene

Oracle-Produkte wie Oracle Configurator, Order Management, Order Capture, Quoting, iPayment, iStore und Pricing nutzen die Datenbank als HTTP-Client. Die Implementierung von TLS für den Oracle-Datenbankserver (der als Client fungiert, der Anforderungen an den Webserver sendet) verwendet den Oracle Wallet Manager zum Einrichten einer Oracle-Wallet.

Um die HTTPS-Client-Anfrage von der Datenbank mit UTL_HTTP zu ermöglichen, müssen Sie einen Truststore im Wallet-Format einrichten. Für dieses Wallet benötigen Sie kein Serverzertifikat. Sie müssen nur das Root-CA-Zertifikat für die Root-CAs importieren, die der Vertrauensanker für die Sites sind, zu denen Sie UTL_HTTP benötigen, um eine Verbindung herzustellen.

  1. Navigieren Sie nach dem Festlegen Ihrer Umgebung für die Datenbankebene zum Verzeichnis $ORACLE_HOME/appsutil.
  2. Erstellen Sie ein neues Wallet-Verzeichnis namens wallet.
  3. Navigieren Sie zum neu erstellten Wallet-Verzeichnis.
  4. Öffnen Sie den Oracle Wallet Manager als Hintergrundprozess.
owm &
  1. Navigieren Sie im Oracle Wallet Manager-Menü zu WalletNeu .
    Antworten Sie mit NEIN auf:Ihr Standard-Wallet-Verzeichnis existiert nicht. Möchten Sie es jetzt erstellen? Der neue Brieftaschenbildschirm fordert Sie nun auf, ein Passwort für Ihre Brieftasche einzugeben. Klicken Sie auf NEIN, wenn Sie dazu aufgefordert werden:Eine neue leere Brieftasche wurde erstellt. Möchten Sie jetzt eine Zertifikatsanforderung erstellen?
  2. Wenn Sie ca.crt importieren müssen, navigieren Sie im Oracle Wallet Manager-Menü zu VorgängeVertrauenswürdiges Zertifikat importieren . Klicken Sie auf OK . Doppelklicken Sie auf ca.crt, um es zu importieren.
  3. Wallet speichern:Klicken Sie im Oracle Wallet Manager-Menü auf Wallet . Bestätigen Sie die  Automatische Anmeldung Kontrollkästchen ist aktiviert. Klicken Sie auf Speichern .

Um zu testen, ob die Brieftasche ordnungsgemäß eingerichtet und zugänglich ist, melden Sie sich als Benutzer der App bei SQLPLUS an und führen Sie Folgendes aus:

SQL>select utl_http.request(‘[address to access]’, ‘[proxy address]’, ‘file:[full path to wallet directory]’, null) from dual;

wo:
‘[Zugriffsadresse]‘ =die URL für Ihr Oracle E-Business Suite Rapid Install Portal.
‘[Proxy-Adresse] ‘ =die URL Ihres Proxy-Servers oder NULL, wenn Sie keinen Proxy-Server verwenden.
‘file:[vollständiger Pfad zum Wallet-Verzeichnis]’  =der Speicherort Ihres Wallet-Verzeichnisses (geben Sie nicht die eigentlichen Wallet-Dateien an).

Der letzte Parameter ist das Wallet-Passwort, das standardmäßig auf null gesetzt ist.

Beispiele:

SQL>select utl_http.request('https://www.oracle.com/robots.txt','http://www-proxy.com:80', 'file:/d1/oracle/db/tech_st/12.1.0/appsutil/wallet', null) from dual;
SQL>select utl_http.request('https://www.oracle.com/robots.txt',null, 'file:/d1/oracle/db/tech_st/12.1.0/appsutil/wallet', null) from dual;

Wenn das Wallet richtig eingerichtet wurde, werden Ihnen die ersten 2.000 Zeichen der HTML-Seite zurückgegeben.

 

Verwandte  Links

Aktivieren von SSL oder TLS in Oracle E-Business Suite Release 12 (Dok.-ID 2143099.1)
So finden Sie R12-Komponenten Version
40 Adpatch-Frage, die jeder DBA kennen sollte
awk-Befehl
Keytool-Befehl