Configurar Certificado Seguro (SSL) en la plataforma Oracle EPM 11.1.2.4 v01.00 Lima, 2016 Yoel MEDINA Consultant at Arson Group Email: yoel.medina@arsongroup.com David MENDELE BI / EPM Manager at Arson Group Email: david.mendele@arsongroup.com Móvil: (511) 956 600 012 / (511) 986 238 601 Índice – Configurar el SSL en la plataforma Oracle EPM 1/. Generar un certificado SSL confiable para Oracle EPM 2/. Configurar el SSL en OBIEE 3/. Conectarse a Oracle EPM vía HTTPs 1/. Generar un certificado SSL confiable para Oracle EPM Instalamos el “OpenSSL” en nuestra maquina (Instalador: Win32OpenSSL_Light-1_0_2a.exe). Creamos la carpeta “C:\EPM_SSL” en la máquina local donde se tiene el Open SSL. Después, se abre un “Command Prompt” como administrador. Maquina Local: Los siguientes comandos se ejecutaran en este “Command Prompt”: Comando 1: cd /d C:\EPM_SSL Este comando permite de posicionarnos en la carpeta “EPM_SSL” que acabamos de crear. Es en esta carpeta que generaremos el certificado SSL. Comando 2: set SSL_HOME=C:\OpenSSL-Win32\bin Este comando permite de definir que el directorio de instalación del OpenSSL. Comando 3: "%SSL_HOME%\openssl" genrsa -des3 -out CENTRIA_cakey.pem 2048 Este comando permite de crear una clave de encriptación CENTRIA_cakey.pem de longitud 2048. Al ejecutar el comando aparece un prompt. Pondremos “Oracle01” como contraseña de la clave. Comando 4: "%SSL_HOME%\openssl" req -new -key CENTRIA_cakey.pem -x509 -days 360 -extensions v3_ca -out CENTRIA_ca.crt Este comando permite de generar el certificado SSL privado CENTRIA_ca.crt valido por un año (-days 360 ). Al ejecutar el comando aparece un prompt. Pondremos “Oracle01” como contraseña de la clave. Para el Common Name (CN) pondremos 10.73.1.76. Es muy importante que sea igual a la ip del servidor Oracle HTTP Server para que el certificado SSL sea reconocido como confiable. Los demás parámetros son informacional: OU=IT, O=CENTRIA, L=LIMA, ST=LIMA, C=PE, Mail=cgil@centria.net. 1/. Generar un certificado SSL confiable para Oracle EPM Ahora nos conectamos al servidor Oracle HTTP Server (10.73.1.76) para generar el “certificate request”. En el “Middleware home” (E:\Oracle\Middleware) de Oracle EPM creamos la carpeta “ssl”. Después, se abre el “Wallet Manager”. Ruta donde se instaló el EPM. Creamos un nuevo almacén de certificados. Wallet Password: Oracle01 “Yes”, para crear el “certificate request”. 1/. Generar un certificado SSL confiable para Oracle EPM Common Name: 10.73.1.76 (el common name debe ser igual a la ip del Oracle HTTP Server) Organizational Unit: IT Organization: CENTRIA Location: LIMA State: LIMA Country: Peru Key Size: 2048 “OK”, para crear el “certificate request”. Se hace un clic derecho en “Certificated Requested” y se selecciona “Export Certificate Request”. El “Certificate Request” se exporta en: E:\Oracle\Middleware\ssl\OHSCert.crs Ruta donde se instaló el EPM. Dejar el “Wallet Manager” abierto en el servidor. 1/. Generar un certificado SSL confiable para Oracle EPM Se copia el “Certificate Request ” (E:\Oracle\Middleware\ssl\OHSCert.crs) generado en el servidor 10.73.1.76 en el directorio “C:\EPM_SSL” de su maquina local. Ruta donde se Después, se abre un “Command Prompt” como administrador. instaló el EPM. Los siguientes comandos se ejecutaran en este “Command Prompt”: Comando 1: cd /d C:\EPM_SSL Este comando permite de posicionarnos en la carpeta “EPM_SSL”. Es en esta carpeta que generaremos el certificado SSL. Comando 2: set SSL_HOME=C:\OpenSSL-Win32\bin Este comando permite de definir que el directorio de instalación del OpenSSL. Comando 3: "%SSL_HOME%\openssl" x509 -req -days 360 -in OHSCert.crs -CA CENTRIA_ca.crt -CAkey CENTRIA_cakey.pem -CAcreateserial -out CENTRIA_ohs.cer Este comando permite de el certificado SSL público CENTRIA_ohs.cer a partir del “Certificate Request” OHSCert.crs. La contraseña de la clave de encriptación CENTRIA_cakey.pem es Oracle01. Este certificado es valido por un periodo de un año (-days 360). Comando 4: "%SSL_HOME%\openssl" pkcs12 -export -out IPAD_Hyperion_Centria.pfx -inkey CENTRIA_cakey.pem -in CENTRIA_ca.crt -certfile CENTRIA_ohs.cer Este comando permite de convertir el certificado SSL CENTRIA_ohs.cer en un certificado IPAD_Hyperion_Centria.pfx compatible con el iOS para su despliegue en los clientes MAC. La contraseña de la clave de encriptación CENTRIA_cakey.pem es Oracle01. Pondremos Oracle01 como clave del certificado MAC IPAD_Hyperion_Centria.pfx . 1/. Generar un certificado SSL confiable para Oracle EPM MUY IMPORTANTE Para que funcione bien las conexiones SSL y que sea reconocido como confiable se tiene que instalar el certificado SSL que hemos generado en las “Entidades de certificación raíz de confianza” de todos los clientes que se van a conectar. Certificado a instalar en los clientes Windows: C:\EPM_SSL\CENTRIA_ca.crt (doble clic en el certificado, instalar) Certificado a instalar en los clientes MAC: C:\EPM_SSL\IPAD_Hyperion_Centria.pfx (Contraseña del certificado: Oracle01) Se copia el certificado privado (C:\EPM_SSL\CENTRIA_ca.crt) y el certificado público (C:\EPM_SSL\CENTRIA_ohs.cer) en el directorio “E:\Oracle\Middleware\ssl” del servidor Oracle HTTP Sever (10.73.1.76). En el servidor 10.73.1.76 se hace clic en “Operations”, y se selecciona “Import Trusted Certificate” para importar el certificado privado. Ruta donde se instaló el EPM. Se hace clic en “OK”, se selecciona el certificado privado (“Trusted Certificate”) E:\Oracle\Middleware\ssl\CENTRIA_ca.crt. 1/. Generar un certificado SSL confiable para Oracle EPM En el servidor 10.73.1.76 se hace clic derecho en “Certificate Requested”, y se selecciona “Import User Certificate” para importar el certificado publico. Se hace clic en “OK”, se selecciona el certificado publico (“User Certificate”) E:\Oracle\Middleware\ssl\CENTRIA_ohs.cer. Hace clic en “Wallet” y se activa la opción “Auto Login”. Finalmente se graba el almacen de certificado (“Wallet”) en “E:\Oracle\Middleware\ssl” . 2/. Configurar el SSL en Oracle EPM En el servidor Oracle HTTP Server se edita el fichero: E:\Oracle\Middleware\user_projects\epmsystem1\httpConfig\ohs\config\OHS\ohs_component\ssl.conf Ruta donde se instaló el EPM. Se configura el puerto para las conexiones SSL Se configura el puerto para las conexiones SSL 2/. Configurar el SSL en Oracle EPM Se comenta esta línea, agregando “#” delante. Se agrega la siguiente línea: SSLWallet “E:\Oracle\Middleware\ssl” 2/. Configurar el SSL en Oracle EPM Abrir el fichero httpd.conf, agregar y validar las siguientes líneas. 2/. Configurar el SSL en Oracle EPM Después de haber editado y grabado este fichero se reinicia el Oracle HTTP Server para activar el SSL. 3/. Conectarse a Oracle EPM vía HTTPs Conexión HTTPS al workspace: https://10.73.1.76:19443/workspace/ David MENDELE BI / EPM Manager at Arson Group Email: david.mendele@arsongroup.com Móvil: (511) 956 600 012 / (511) 986 238 601 www.arsongroup.com Calle Cantuarias 270 Of., 401 - Miraflores - Lima - Perú Oficina : (511) 241 - 8343 | FAX : (511) 446 4491