sql >> Database teknologi >  >> RDS >> Oracle

Aktivering af TLS i Oracle Apps R12.2

Her   ville vi se på de detaljerede trin til Aktivering af TLS i Oracle Apps R12.2

Indholdsfortegnelse

Introduktion:

Dataene mellem webbrowser og webserver rejser ukrypteret i R12-applikationen, så adgangskoden og andre oplysninger kan spores af sniffer. Vi undgår dette ved at implementere SSL i R12.

Med SSL-implementering transporteres dataene i de krypterede former, og kun webbrowser og webserver kan dekryptere dem.

Implementeringen kræver SSL-certifikatet og konfigurationen i R12-miljøet   i henhold til konfigurationen

Hvad er SSL?

SSL og TLS er den kryptografiske protokol, der sikrer privatlivets fred mellem kommunikerende applikationer og deres brugere på internettet

Hvad er Transport Layer Security (TLS)

Transport Layer Security, eller TLS, er efterfølgeren til SSL. TLS er ligesom SSL en protokol, der krypterer trafik mellem en klient og en server. TLS opretter en krypteret forbindelse mellem to maskiner, der gør det muligt at overføre private oplysninger uden problemer med aflytning, datamanipulation eller meddelelsesforfalskning.

Sådan fungerer SSL

  1. Klienten sender en anmodning til serveren ved hjælp af HTTPS-forbindelsestilstand.
  2. Serveren præsenterer sit digitale certifikat til klienten. Dette certifikat indeholder serverens identifikationsoplysninger såsom servernavn, organisation og serverens offentlige nøgle og digital signatur af CA's private nøgle
  3. Klienten (webbrowseren) har de offentlige nøgler til alle CA. Det dekrypterer det digitale certifikats private nøgle. Denne verifikation beviser, at afsenderen havde adgang til den private nøgle og derfor sandsynligvis er den person, der er knyttet til den offentlige nøgle. Hvis verifikationen går godt, godkendes serveren som en betroet server.
  4. Klienten sender serveren en liste over de krypteringsniveauer eller chiffer, som den kan bruge.
  5. Serveren modtager listen og vælger det stærkeste krypteringsniveau, som de har til fælles.
  6. Klienten krypterer et tilfældigt tal med serverens offentlige nøgle og sender resultatet til serveren (som kun serveren skal kunne dekryptere med sin private nøgle); begge parter bruger derefter det tilfældige tal til at generere en unik sessionsnøgle til efterfølgende kryptering og dekryptering af data under sessionen

ssl-implementeringen vil afhænge af topologien af ​​R12-implementeringen. Jeg fremhæver her alle de vigtigste.

TLS-termineringspunkt

  • Et TLS-termineringspunkt er slutpunktsserveren for den krypterede forbindelse, der er startet af en klient (f.eks. en browser).
  • I tilfælde af Oracle E-Business Suite kan Oracle HTTP-serveren fungere som et TLS-termineringspunkt. Et alternativt TLS-termineringspunkt, såsom en omvendt proxy eller load balancer, kan konfigureres foran Oracle HTTP-serveren.

Forskellige SSL-topologier

  • En enkelt webserverimplementering med TLS-termineringspunkt som webserver

Dette er ret simpelt. Vi skal bruge det digitale certifikat til webserveren. Trinene er lige frem. Trafikken mellem webbrowser og webserver bliver krypteret

  • At have en belastningsbalancer, der tjener til 2 eller flere webservere, gør det en smule kompliceret

I dette tilfælde kunne vi have følgende muligheder

1.End to end-kryptering af trafik (TLS-termineringspunkt som webserver)

Hele trafikstrømmen fra browser til load balancer og fra load balancer til webserver er krypteret

Der er to måder at gøre det på

a) Pass-through-konfiguration :Belastningsbalancen i dette tilfælde dekrypterer/krypterer ikke beskeden. Den passerer bare gennem trafikken til webserveren

b) Dekryptering/kryptering :Belastningsbalancen dekrypterer i dette tilfælde trafikken på belastningsbalanceringsniveauet og krypterer den igen og sender den til webserveren, som igen dekrypterer den

2. SSL-terminator (Alternativt TLS-termineringspunkt):Trafikken mellem webbrowser og load balancer er kun krypteret. Load balancen fungerer som SSL-terminator og afslutter SSL'en på load balancer-niveau og sender den ukrypterede trafik til webserveren.

Trin til at udføre konfiguration på hver topologi er angivet nedenfor

En enkelt webserverimplementering med TLS-termineringspunkt som webserver

Vigtige pointer

1) Opgrader til et minimum af Java Development Kit (JDK) 7.

Brugen af ​​TLS 1.2 kræver som minimum Java 7

2) Opgrader Oracle Fusion Middleware.

Brugen af ​​TLS 1.2 kræver Oracle Fusion Middleware 1.1.1.9

3) Påfør produktspecifikke plastre.

Oracle Workflow – Anvend patch 22806350 :R12.OWF.C for at løse et Oracle Workflow Notification Mailer-problem.

Oracle iProcurement – ​​Anvend patch(erne), der er nævnt i My Oracle Support Knowledge Dokument 1937220.1Oracle iProcurement, Exchange og OSN fejler efter leverandørwebsted migrerer fra SSLv3 til TLS-protokol (med SSL Handshake SSLIOClosedOverrideGoodbyeKiss) , som svarer til de relevante applikationsversioner.

Oracle iPayment – ​​Anvend patch 22522877 :R12.IBY.C.

Oracle XML Gateway – Anvend patch 22326911 :R12.ECX.C.

  Trin 1

Indstil dit miljø

De trin, der er beskrevet i dette afsnit, skal udføres på det (kørende) kørselsfilsystem for at sikre, at TLS-opsætningen under den næste online-patchning derefter overføres til patch-filsystemet. Der bør ikke være en aktiv patching-cyklus på dette tidspunkt. For at kontrollere, om en online patch-cyklus allerede er aktiv eller ej, kan du bruge følgende kommando:

UNIX:

$ adop -status

  1. Log på applikationsniveauet Oracle E-Business Suite Release 12.2 som den OS-bruger, der ejer installationsfilerne.
  2. Filsystemet med Applications-kontekstfilvariablen s_file_edition_type sat til 'run' angiver kørefilsystemet. Kilde til din programlags miljøfil (.env), placeret i APPL_TOP-mappen på kørefilsystemet. Kilde ikke APPS.env-filen, ellers vil 10.1.2-miljøvariablerne blive samlet op, og Oracle Wallet Manager 11g vil ikke starte. Efter at have hentet miljøfilen, skal $FILE_EDITION miljøvariablen være 'run'.
  3. Indstil PATH-miljøvariablen til at inkludere Fusion Middleware-placeringen og DISPLAY-variablen for owm gui

For eksempel

eksport PATH=$FMW_HOME/webtier/bin:$FMW_HOME/oracle_common/bin:$PATH

eksport DISPLAY=:0.0

 S trin 2

Opret en tegnebog

Placeringen s_web_ssl_directory bruges stadig af nogle Oracle E-Business Suite Release 12.2-komponenter (f.eks. XML Gateway Transportation Agent OXTA) og under Oracle Fusion Middleware-kloningsprocessen.

Vi kan finde denne placering på nedenstående måde

kat $CONTEXT_FILE|grep "s_web_ssl_directory"

Åbn Wallet Manager som en baggrundsproces:

$ owm &

På Oracle Wallet Manager-menuen skal du navigere til Wallet>

Ny.

Svar NEJ til:Din standard tegnebogsmappe eksisterer ikke. Ønsker du at oprette det nu?

Den nye tegnebogsskærm vil nu bede dig om at indtaste en adgangskode til din tegnebog

Indtast adgangskoden, og husk den

En ny tom tegnebog er blevet oprettet. Ønsker du at oprette en certifikatanmodning på dette tidspunkt?

Når du har klikket på "Ja" i skærmbilledet Opret certifikatanmodning, vises:

Udfyld de relevante værdier hvor:

Fælles navn Det er navnet på din server inklusive domænet.
Organisationsenhed:(valgfrit) Enheden i din organisation.
Organisation Det er navnet på din organisation
Lokalitet/by Det   er din lokalitet eller by.
Stat/provins er det fulde navn på din stat eller provins, må du ikke forkorte.

Vælg dit land fra rullelisten, og vælg som minimum 2048 for nøglestørrelsen. Klik på OK.

Klik på  På anmodet om certifikat

Du skal eksportere certifikatanmodningen, før du kan sende den til en certificeringsmyndighed.

  1. Klik på Certifikat [Requested] for at fremhæve det.
  2. Klik på Operations>
  3. i menuen

Eksporter certifikatanmodning

  1. Gem filen som server.csr
  2. Klik på Tegnebog i menuen, og klik derefter på Gem.
  3. På skærmbilledet Vælg katalog skal du ændre kataloget til dit fuldt kvalificerede tegnebogsmappe.
  4. Klik på OK.
  5. Klik på Tegnebog i menuen, og marker feltet Automatisk login.

Sørg for at gøre denne adgangskode til noget, du vil huske. Du skal bruge adgangskoden, når du åbner tegnebogen med Oracle Wallet Manager eller udfører handlinger på tegnebogen ved hjælp af kommandolinjegrænsefladen. Med automatisk login aktiveret, behøver processer indsendt af den OS-bruger, der oprettede tegnebogen, ikke opgive adgangskoden for at få adgang til tegnebogen.

  1. Afslut Wallet Manager.

Tegnebogsmappen vil nu indeholde følgende filer:

cwallet.sso

ewallet.p12

server.csr

Du kan nu indsende server.csr til din certificeringsmyndighed for at anmode om et servercertifikat

Gem tegnebogen ved hjælp af tegnebogen, og gem og giv biblioteksstien

Send certifikatanmodningen til en certifikatmyndighed .

Bemærk:Signaturalgoritmeændringer

Branchestandarder for krypteringsalgoritmer er konstant under revision. Certifikater udstedt med en SHA-1-baseret signatur-hash-algoritme som industristandard udfases. Mange certifikatmyndigheder anbefaler eller pålægger SHA-2 som minimumsignaturalgoritmen til udstedelse af certifikater. Tidsrammen for at flytte til SHA-2 varierer afhængigt af den certifikatmyndighed, der bruges. Kravet til SHA-2 påvirker også mellemliggende certifikater, som også skal være SHA-2 for at kunne kædes tilbage til det udstedte SHA-2-certifikat. Rodcertifikater påvirkes ikke.

Se følgende My Oracle Support Knowledge-dokumenter for at få flere oplysninger:

Dokument 1448161.1Sådan producerer du CSR med en SHA-1 eller bedre signaturalgoritme

Dokument 1275428.1Supportstatus for SHA-2 i Oracle Application Server (10.1.2.X.X/10.1.3.X.X) og Fusion Middleware 11g (11.1.1.X)

Dokument 1939223.1Er det muligt at generere SHA-2-certifikatsigneringsanmodninger med Oracle Wallet Manager eller ORAPKI i FMW11g

Afhængigt af din certifikatudbyder accepteres MD5-baserede certifikatanmodninger (CSR) genereret af Oracle Wallet Manager (OWM) muligvis ikke.

For eksempel vil Symantec nu kun acceptere SHA-1 2048-bit baserede CSR'er eller højere. På grund af en strømbegrænsning i både OWM og orapki er de ude af stand til at generere andet end MD5-baserede CSR'er. OWM kan acceptere SHA-2 eller højere betroede certifikater og servercertifikater, det kan bare ikke generere dem.

I disse tilfælde er løsningen at gøre brug af OpenSSL til at generere CSR. Et eksempel på denne proces er givet nedenfor.

  1. Brug OpenSSL til at tage den eksisterende tegnebog og gemme den som en ny fil i PEM-format:

openssl pkcs12 -in ewallet.p12 -nodes -out nonoracle_wallet.pem

Brug OpenSSL til at generere anmodningen, der specificerer SHA-2:

openssl req -new -key nonoracle_wallet.pem -sha256 -out server.csr

På dette tidspunkt vil OpenSSL bede dig om anmodningsattributterne. Sørg for at indtaste de samme data, som du indtastede, da du oprettede CSR'en i OWM. Angiv ikke et "udfordringskodeord", da dette er blevet anset for at være usikkert af de fleste certificeringsmyndigheder.

  1. CSr'et skal nu sendes til din certifikatmyndighed for at anmode om et servercertifikat.
  2. Når du har modtaget dit nyligt udstedte certifikat, kan du importere dette til din tegnebog ved hjælp af OWM og fortsætter med det næste trin nedenfor

Trin 5

Importer dit servercertifikat til tegnebogen

Når du har modtaget dit servercertifikat fra din certificeringsmyndighed, skal du importere det til din tegnebog. Kopier certifikatet til server.crt i tegnebogens bibliotek på din server på en af ​​følgende måder:

  1. ftp certifikatet (i binær tilstand)
  2. kopiér og indsæt indholdet i server.crt

Følg disse trin for at importere server.crt til din tegnebog:

  1. Åbn Wallet Manager som en baggrundsproces:

$ owm &

  1. Klik på Tegnebog i menuen og derefter på Åbn.
  2. Svar Ja, når du bliver bedt om det:

Din standard tegnebogsmappe eksisterer ikke.

Vil du fortsætte?

  1. På skærmbilledet Vælg bibliotek skift kataloget til dit fuldt kvalificerede tegnebogsmappe og

klik på OK

  1. Indtast din tegnebogsadgangskode, og klik på OK.
  2. På Oracle Wallet Manager-menuen skal du navigere til Operations Import User Certificate. Servercertifikater er en type brugercertifikat. Da certificeringsmyndigheden udstedte et certifikat til serveren og placerede dets distinguished name (DN) i feltet Emne, er serveren certifikatejeren, og dermed "brugeren" for dette brugercertifikat.
  1. Klik på OK.
  2. Dobbeltklik på server.crt for at importere den.
  3. Gem tegnebogen:
  4. Klik på Tegnebog i Oracle Wallet Manager-menuen.
  5. Bekræft, at feltet Automatisk login er markeret.
  6. Klik på Gem

Bemærk:Hvis alle betroede certifikater, der udgør kæden af ​​server.crt, ikke er til stede i tegnebogen, vil tilføjelsen af ​​certifikatet mislykkes. Da tegnebogen blev oprettet, blev certifikaterne for de mest almindelige CA'er (såsom VeriSign, GTE og Entrust) automatisk inkluderet. Kontakt din certificeringsmyndighed, hvis du har brug for at tilføje deres certifikat, og gem den medfølgende fil som ca.crt i tegnebogens bibliotek i et base64-format. En anden mulighed er at følge instruktionerne nedenfor for at oprette ca.crt fra dit servercertifikat (server.crt). Hvis din certificeringsmyndighed har leveret et mellemliggende certifikat (for at fuldføre kæden), og gem derefter den leverede fil som intca.crt i et Base64-format, dette skal importeres til Oracle Wallet Manager før import af serveren.crt. Certifikater, der omfatter flere dele (såsom P7B-typen) vil også falde ind under denne kategori

Oprettelse af din certificeringsmyndigheds certifikat

For at oprette ca.crt

  1. Kopiér server.crt til din pc (hvis nødvendigt) ved hjælp af en af ​​følgende metoder:

ftp (i binær tilstand) server.crt til din pc .

kopier indholdet af server.crt og indsæt i notesblok på pc'en. Gem filen som server.crt

  1. Dobbeltklik på server.crt for at åbne den med Cyrpto Shell-udvidelsen.
  2. På fanen Certificeringssti klik på den første (øverste) linje og derefter Vis certifikat.
  3. På fanen Detaljer, klik på Kopier til fil, dette vil starte eksportguiden.
  4. Klik på Næste for at fortsætte.
  5. Vælg Base64-kodet X.509 (.CER), og klik på næste.
  1. Klik på Gennemse, og naviger til det ønskede bibliotek.
  2. Indtast ca.crt som navn, og klik på ok for at eksportere certifikatet.
  3. Luk guiden.
  4. Kopiér ca.crt tilbage til din tegnebogsmappe (hvis nødvendigt) ved hjælp af en af ​​følgende metoder:

ftp (i binær tilstand) ca.crt til dit applikationsniveau tegnebogsmappe

kopier indholdet af ca.crt og indsæt i en ny fil i dit applikationsniveau-pungbibliotek ved hjælp af en teksteditor. Gem filen som ca.crt

Detaljerede trin til at importere certifikat med skærmbilleder

 owm &

Klik derefter på tegnebog -> åben

Klik på Ja

Indtast den fulde sti til wwallet-biblioteket

Indtast tegnebogens adgangskode

Now Operations:Importer brugercertifikat

Alternativt kan du tilføje certifikatet

orapki wallet add \ 
 -wallet . \
-trusted_cert \
-cert ca.cer \
-pwd <pwd>

orapki wallet add \
-wallet . \
-trusted_cert \
-cert intca.cer \
-pwd <pwd>

 
orapki wallet add \
-wallet .\
-user_cert \
-cert tech.cer \
-pwd <pwd>

 

Hvis du skal importere CA-certifikatet, skal du også tilføje indholdet af ca.crt-filen til filen b64InternetCertificate.txt, der findes i 10.1.2 ORACLE_HOME/sysman/config-mappen:

$ kat ca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Hvis du også fik et mellemliggende certifikat (intca.crt), skal du også tilføje det til b64InternetCertificate.txt:

$ kat intca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Trin 6 – Rediger Oracle HTTP Server-tegnebogen .

/Apache bruges stadig af nogle Oracle E-Business Suite Release 12.2-komponenter, men bruges ikke af Oracle HTTP-serveren.

Kopiér /Apache wallet (cwallet.sso ) til /config/OHS//keystores/default  biblioteksplacering

Du kan finde disse variable fra kontekstfilen

kat $CONTEXT_FILE|grep “s_ohs_instance_loc”

kat $CONTEXT_FILE|grep "s_ohs_component"

Trin 7 – Rediger OPMN-tegnebogen og konfigurer krypteringspakkerne .

Rediger OPMN Wallet

Standardplaceringen for OPMN tegnebogen er i /config/OPMN/opmn/wallet mappen.

Vi kan finde denne placering på nedenstående måde

kat $CONTEXT_FILE|grep “s_ohs_instance_loc”

  1. Naviger til /config/OPMN/opmn/wallet mappen.
  2. Flyt de eksisterende tegnebogsfiler til en backup-mappe, hvis du ønsker at bruge dem igen i fremtiden.
  3. Kopiér cwallet.sso filerne fra /config/OHS//keystores/default mappen til den aktuelle mappe.

Konfigurer OPMN Cipher Suites

Du skal udføre denne konfiguration for at gennemtvinge stærke krypteringspakker på OPMN-fjernporten.

  1. Sørg for, at alle processer er nede.
  2. Åbn opmn.xml filen, der er placeret under din webtierforekomst.
  3. Mod toppen af ​​filen, se efter SSL-indstillingerne i -sektionen.
    Skift:

wallet-file=””/>
til

wallet-file=”” ssl-versions=”TLSv1.0″
ssl-ciphers=””/>
Den følgende liste specificerer de gyldige cipher suites, der kan bruges:

  • SSL_RSA_WITH_AES_256_CBC_SHA
  • SSL_RSA_WITH_AES_128_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA

For eksempel:

wallet-file=”/EBS_web_EBSDB_OHS1/config/OPMN/opmn/wallet” ssl-versions=”TLSv1.0″
ssl-ciphers=”SSL_RSA_WITH_ACSHA_3SHA_BCSHA_3SHA_BCSHA_18_AES_1000_1000_1.>

Rediger admin.conf filen.
Skift:

SSLcipherSuite SSL_RSA_WITH_RC4_128_SHA
SSLProtocol nzos_Version_1_0 nzos_Version_3_0

til

SSLcipherSuite :
SSLProtocol nzos_Version_1_0 nzos_Version_1_1 nzos_Version_1_2

Trin 8 – Rediger Oracle Fusion Middleware Control Console .

Fusion Middleware Control Console bruger funktionaliteten fra OPMN til at administrere din Oracle Fusion Middleware Enterprise.

Flyt de eksisterende tegnebogsfiler til en backup-mappe, hvis du ønsker at bruge dem igen i fremtiden.

  • $EBS_DOMAIN_HOME/opmn///wallet
  • $EBS_DOMAIN_HOME/opmn//wallet
  • $FMW_HOME/webtier/instances//config/OHS//proxy-wallet

Vi kan finde denne placering på nedenstående måde

kat $CONTEXT_FILE|grep "EBS_DOMAIN_HOME"

Kopiér cwallet.sso filen fra /config/OPMN/opmn/wallet mappen til alle tre steder nævnt ovenfor.

Bemærk :I tilfælde af et delt filsystem og multinode-konfiguration udføres opdateringer til de første to mapper på den primære node, og opdateringer til den tredje mappe udføres på den respektive applikations-tierknude, hvor OHS konfigureres til TLS. Årsagen er, at de første to mapper kun vil eksistere på den primære node, og den tredje mappe vil kun eksistere på hver applikations-tierknude, hvor OHS er aktiveret.

Trin 9

Brug Oracle Fusion Middleware Control til at foretage nogle yderligere ændringer i konfigurationsfilen:

  1. Log ind på Oracle Fusion Middleware Control Console (f.eks. http://.:/em).
  2. Vælg Web Tier Target under EBS Domain.
  3. Vælg Administration > Avanceret konfiguration.
  4. Vælg ssl.conf fil til redigering.
  5. Opdater direktiverne Listen og VirtualHost _default_: til SSL-porten, f.eks. Listen 4443.
  6. Opdater SSLProtocol og SSLcipherSuite-posten, så den matcher følgende:

SSLProtocol TLSv1 TLSv1.1 TLSv1.2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!RC4:+HIGH:+MEDIUM

7. Klik på Anvend .

Følgende kommando skal køres (på alle applikationsniveauknuder) for at udbrede ændringerne foretaget gennem Oracle Fusion Middleware Control Console til kontekstfilvariablerne:

perl $AD_TOP/bin/adSyncContext.pl contextfile=$CONTEXT_FILE
Indtast APPS-brugeradgangskoden:
Indtast WebLogic AdminServer-adgangskoden:

Gennemgå adSyncContext.log for de ændringer, der er blevet opfanget og foretaget i kontekstfilen.

Brug Oracle E-Business Suite 12.2 – OAM Context Editor til at ændre de TLS-relaterede variabler vist i denne tabel:

TLS-relaterede variabler i kontekstfilen
Variabel Ikke-TLS-værdi TLS-værdi
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport samme som s_webport samme som s_webssl_port
s_webssl_port ikke relevant standard er 4443
s_https_listen_parameter ikke relevant samme som s_webssl_port
s_login_page url konstrueret med http-protokol og s_webport url konstrueret med https-protokol og s_webssl_port
s_external_url url konstrueret med http-protokol og s_webport url konstrueret med https-protokol og s_webssl_port

Værdien af s_webport er baseret på standardporten før enhver TLS-konfiguration og forbliver uændret, når der skiftes til TLS

Trin 10 – Kør Autoconfig

Autoconfig kan køres ved at bruge adautocfg.sh-scriptet i mappen Application Tier $ADMIN_SCRIPTS_HOME.

Trin 11 – Genstart Application Tier-tjenesterne

Brug adapcctl.sh-scriptet i mappen $ADMIN_SCRIPTS_HOME til at stoppe og genstarte Apache-tjenesterne på Application Tier.

Trin 12 – Udbred TLS-ændringer til patch-filsystemer .

Følgende trin skal udføres for at synkronisere TLS-opsætningen mellem de to filsystemer:

  1. Rediger $APPL_TOP_NE/ad/custom/adop_sync.drv.
  2. Forudsat at rsync-kommandoen er tilgængelig på UNIX, skal følgende direktiver kopieres og indsættes mellem sektionen og efter den eksisterende <#Copy Ends>:
Eksempelkommandoer:#TLS SECTION – START
# Påkrævet for TLS-opsætningsmigrering fra RUN til PATCH-filsystemet.
# Rediger venligst kommandoerne i tilfælde af, at rsync ikke er tilgængelig, eller hvis platformen ikke understøtter eksempel syntaks.#10.1.2 b64InternetCertificate.txt
rsync -zr %s_current_base%/EBSapps/10.1.2/sysman/config/b64InternetCertificate.txt %s_other_base%/EBSapps/10.1.2/InterignetCertificat.b4/InterignetCertificate.64 txt#Oracle HTTP Server Wallet – cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso %s_other_base%s_other_base FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso#OPMN Wallet – cwallet.sso
rsync -zr %s_current_base%/FMW_Home/web%/tier/ s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso#Fusion Middleware Control Wallets – cbrwallet />rsync -zr %s_current_base%/FMW_Home/user_projects/domains/EBS_domain_%s_dbSid%/opmn/%s_ohs_instance%/%s_ohs_component%/wallet/cwallet.sso %s_other_base/cwallet.sso %s_other_base%/user_projectin%Sidins_Home_Sid opmn/%s_ohs_instance%/%s_ohs_component%/wallet/cwallet.sso

rsync -zr %s_current_base%/FMW_Home/user_projects/domains/EBS_domain_%s_dbSid%/opmn/%s_ohs_instance%/wallet/cwallet.sso %s_other_base%/FMW_Home/user_domain_%s_dbSid%/opmn/%s_ohs_instance%/wallet/cwallet.sso %s_other_base%/FMW_Home/user_projects/_domain%in_ebs/domains%in_ebs/domains%in_ebs/domains% wallet/cwallet.sso

rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/proxy-wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_oh/Sfiginstances/Sfiginstance/S %s_ohs_component%/proxy-wallet/cwallet.sso

Trin, der skal bruges, når du går til SSL-terminator

Der er ikke behov for certifikatoprettelse og installation på webserveren. I dette tilfælde skal vi blot indstille kontekstfilparameteren nedenfor

Brug Oracle Fusion Middleware Control til at foretage nogle yderligere ændringer i konfigurationsfilen:

  1. Log ind på Oracle Fusion Middleware Control Console (f.eks. http://.:/em).
  2. Vælg Web Tier Target under EBS Domain.
  3. Vælg Administration > Avanceret konfiguration.
  4. Vælg ssl.conf fil til redigering.
  5. Opdater ServerName-direktivet til TLS-termineringspunktopsætningen ..
  6. Klik på Anvend.
  7. Vælg httpd.conf fil til redigering.
  8. Opdater ServerName-direktiverne til TLS-termineringspunktets opsætning ..
  9. Klik på Anvend.

Brug Oracle E-Business Suite 12.2 – Oracle Applications Manager (OAM) Context Editor til at ændre de TLS-relaterede variabler vist i denne tabel:

Ændringer ved brug af et andet TLS-termineringspunkt end OHS
(såsom en load balancer eller omvendt proxy)
Variabel Ikke-TLS-værdi TLS-værdi
s_url_protocol http http
s_local_url_protocol http http
s_webentryurlprotocol http https
s_active_webport samme som s_webport TLS-termineringspunkt ekstern port
s_webentryhost samme som s_webhost TLS-termineringspunkt værtsnavn
s_webentrydomain samme som s_domænenavn TLS-termineringspunkts domænenavn
s_enable_sslterminator # Fjern '#' for at bruge ssl_terminator.conf
s_login_page url konstrueret med http-protokol og s_webport Konstruer url med https-protokol, s_webentryhost, s_webentrydomain, s_active_webport
s_external_url url konstrueret med http-protokol og s_webport Konstruer url med https-protokol, s_webentryhost, s_webentrydomain, s_active_webport

Værdien af s_webport er baseret på standardporten før enhver TLS-konfiguration og forbliver uændret, når der skiftes til TLS.

  Kør Autoconfig

Autoconfig kan køres ved at bruge adautocfg.sh-scriptet i mappen Application Tier $ADMIN_SCRIPTS_HOME.

Genstart Application Tier-tjenesterne

Brug adapcctl.sh-scriptet i mappen $ADMIN_SCRIPTS_HOME til at stoppe og genstarte Apache-tjenesterne på Application Tier.

Trin til ende-til-ende-kryptering med Pass through-konfiguration på Load Balancer

  1) Alle de trin, der er givet for en enkelt webserver, skal udføres.

2) Certifikatet skal oprettes med load balancer Name

3)   Vi kan udføre certifikattrinnene på én node og derefter kopiere alle trinene til de andre noder

Kontekstværdiændringer

TLS-relaterede variabler i kontekstfilen
Variabel Ikke-TLS-værdi TLS-værdi
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport same as s_webport same as s_webssl_port
s_webssl_port not applicable default is 4443
s_https_listen_parameter not applicable same as s_webssl_port
s_login_page url constructed with http protocol and s_webport url constructed with https protocol and s_webssl_port
s_external_url url constructed with http protocol and s_webport url constructed with https protocol and s_webssl_port

Run Autoconfig

Autoconfig can be run by using the adautocfg.sh script in the Application Tier $ADMIN_SCRIPTS_HOME directory.

Restart the Application Tier services

Use the adapcctl.sh script in the $ADMIN_SCRIPTS_HOME directory to stop and restart the Application Tier Apache services.

Steps for End to end encryption with Encryption/decryption on Load Balancer

1) All the steps given for single web server need to be executed.

2) The certificate need to be created at load balancer level and web node level also. It need to be created with load balancer Name on both the side

3)   We can execute the certificate steps on one Web Node and then copy all the steps to the other nodes

4) The Load balance should have the client SSL certificate for the Web  node certificate

Context value changes

SSL Related Variables in the Context File
Variable Non-SSL Value SSL Value
s_url_protocol http https
s_local_url_protocol http https
s_webentryurlprotocol http https
s_active_webport same as s_webport same as s_webssl_port
s_webssl_port not applicable default is 4443
s_https_listen_parameter not applicable same as s_webssl_port
s_login_page url constructed with http protocol and s_webport url constructed with https protocol and s_webssl_port
s_external_url url constructed with http protocol and s_webport url constructed with https protocol and s_webssl_port

Both the ssl.conf and httpd.conf will have the ServerName pointing to the local host, rather than the web entry host of the TLS termination point.

In the case of a TLS termination point used, the configuration will generally consist of two profiles:a client SSL profile and a server SSL profile. Each profile will reference the corresponding certificate information of the other. Essentially, the TLS offloader needs to be aware of the TLS certificate information on the EBS side and EBS in turn needs to be aware of the TLS certificate information of the TLS termination point. Consult the documentation relevant to your TLS termination point for information on the proper configuration.

The example here is based on use of F5 BIG-IP TLS Accelerator:

SSL Client:
Parent Profile =clientssl
Certificate &Key =Subject Alternative Name (SAN) based certificate installed on BIG-IP
Chain =Intermediate chain certificate specified

SSL Server:
Parent Profile =serverssl
Certificate &Key =Basic certificate issued to the EBS instance
Chain =Intermediate chain certificate specified

We advise that both sides of the TLS configuration be tested independently. For example, test to make sure your EBS instance works with the TLS termination point first, revert the change, and then test that TLS configured only for EBS works. Once it is confirmed that both configurations work for TLS, you can commit to the end-to-end TLS configuration by re-introducing the TLS termination point.

An example of the protocol flow in this scenario:

client https request> TLS Off-loader (https:443)> EBS TLS (https:4443)

There are two distinct TLS certificate chains in play, therefore the TLS handshake and negotiation must complete in order for the communication to be successful. Any break in this flow will result in TLS protocol errors. In this example, the TLS termination point is operating on the general default port of 443, while EBS is configured to operate on port 4443.

 

Run Autoconfig

Autoconfig can be run by using the adautocfg.sh script in the Application Tier $ADMIN_SCRIPTS_HOME directory.

Restart the Application Tier services

Use the adapcctl.sh script in the $ADMIN_SCRIPTS_HOME directory to stop and restart the Application Tier Apache services.

Configure Loopback and Outbound Connections

Step 1 – Update the managed server (WLS) configuration .

Append the following JVM parameter to all managed servers and the WebLogic administration server:

  1. Log in to Oracle Fusion Middleware Administration Console (for example, http://.:/console)
  2. Click on Lock &Edit.
  3. Under Domain Structure > your EBS domain> Environment and Servers, select one of the managed servers. (Note that you will need to repeat this for all managed servers and the WebLogic administration server in your environment.)
    Then under the Server Start tab in the Arguments section, add the following:

-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2

  1. Click on Save.
  2. Repeat steps 3 and 4 for all remaining managed servers.
  3. Click on Activate Changes.

Step 2 – Update the b64InternetCertificate.txt Truststores

Add the contents of the ca.crt file to b64InternetCertificate.txt file.

If you need to import the CA Certificate, you will also need to add the contents of the ca.crt file to the b64InternetCertificate.txt file located in the 10.1.2 ORACLE_HOME/sysman/config directory:

$ cat ca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Step 3 – Update the cacerts Truststore

  1. Update the JDK cacerts file.
    Oracle Web Services requires the certificate of the certifying authority who issued your server certificate (ca.crt from the previous step) to be present in the JDK cacerts file. In addition, some features of XML Publisher and BI Publisher require the server certificate (server.crt from previous step) to be present.
  2. Navigate to the $OA_JRE_TOP/lib/security directory.
  3. Follow these steps to ensure these requirements are met:
  4. Backup the existing cacerts file.
  5. Copy your ca.crt and server.crt files to this directory and issue the following command to insure that cacerts has write permissions:
$ chmod u+w cacerts
4. Add your Apache ca.crt and server.crt to cacerts:$ keytool -import -alias ApacheRootCA -file ca.crt -trustcacerts -v -keystore cacerts

$ keytool -import -alias ApacheServer -file server.crt -trustcacerts -v -keystore cacerts


If you were also provided an Intermediate Certificate (intca.crt) then you will also need to add that to the cacerts before adding the server.crt:

$ keytool -import -alias ApacheRootCA -file ca.crt -trustcacerts -v -keystore cacerts
$ keytool -import -alias ApacheIntCA -file intca.crt -trustcacerts -v -keystore cacerts
$ keytool -import -alias ApacheServer -file server.crt -trustcacerts -v -keystore cacerts

When prompted, enter the keystore password (default password is “changeit) When you have completed the modifications to the cacerts, reset the permissions:

$ chmod u-w cacerts

Step 4 Database tier setup

Oracle products such as Oracle Configurator, Order Management, Order Capture, Quoting, iPayment, iStore, and Pricing are leveraging the database as an HTTP client. The implementation of TLS for the Oracle Database Server (which acts as a client sending requests to the Web server) makes use of the Oracle Wallet Manager for setting up an Oracle wallet.

Bemærk :This is a mandatory requirement for Oracle iStore storefront pages when the web tier is TLS enabled.

To enable the HTTPS client request from the database using UTL_HTTP, you need to establish a truststore in wallet format. You do not need a server certificate for this wallet. You only need to import the root CA certificate for the root CAs that are the trust anchor for the sites you need UTL_HTTP to connect to.

  1. After setting your environment for the database tier, navigate to the $ORACLE_HOME/appsutil directory.
  2. Create a new wallet directory named wallet.
  3. Navigate to the newly created wallet directory.
  4. Open the Oracle Wallet Manager as a background process.
owm &
  1. In the Oracle Wallet Manager Menu, navigate to Wallet  > New .
    Answer NO to:Your default wallet directory doesn’t exist. Do you wish to create it now? The new wallet screen will now prompt you to enter a password for your wallet. Click NO when prompted:A new empty wallet has been created. Do you wish to create a certificate request at this time?
  2. If you need to import ca.crt, on the Oracle Wallet Manager menu navigate to Operations  > Import Trusted Certificate . Click OK . Double click on ca.crt to import it.
  3. Save the wallet:On the Oracle Wallet Manager Menu, click Wallet . Verify the  Auto Login  check box is selected. Click Save .

To test that the wallet is properly set up and accessible, log in to SQLPLUS as the apps user and execute the following:

SQL>select utl_http.request('[address to access]', '[proxy address]', 'file:[full path to wallet directory]', null) from dual;

where:

‘[address to access]’  =the URL for your Oracle E-Business Suite Rapid Install Portal.

‘[proxy address] ‘ =the URL of your proxy server, or NULL if not using a proxy server.

‘file:[full path to wallet directory]’  =the location of your wallet directory (do not specify the actual wallet files).

Related  links

Enabling SSL or TLS in Oracle E-Business Suite Release 12 (Doc ID 2143099.1)
How to find R12 components Version
40 Adpatch question every DBA should know
awk command
Keytool command


  1. ORA-00604 ORA-12705

  2. Sådan får du vist, hvilken Postgres-version der kører

  3. Hvordan synkroniseres Mysql DB igen, hvis Master og slave har forskellige databaser i tilfælde af Mysql-replikering?

  4. ListView Kontrol Træk-Drop Sorter begivenheder