Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь


Скачать 135.41 Kb.
НазваниеИнструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь
ТипИнструкция
rykovodstvo.ru > Руководство эксплуатация > Инструкция
Инструкция по настройке и обновлению сертификатов X.509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, OAM, OIM, OID, WebTier/OHS)

Используемые переменные и их взаимосвязь

Имя переменной

Описание

Пример

$JAVA_HOME

Каталог в который установлен используемый экземпляр Java.

/opt/jdk

$MW_HOME

Каталог в котором развернута инфраструктура Oracle MiddleWare. Может быть несколько в пределах одного хоста.

/u01/mwh

$WL_HOME

Каталог в котором развернуты компоненты Weblogic.

$MW_HOME/wlserver_10.3

$WLS_HOME

Каталог в котором развернут сервер Weblogic.

$WL_HOME/server

$NM_HOME

Каталог с конфигурацией NodeManager. Может быть несколько в пределах одного хоста.

$WL_HOME/common/nodemanager

$ORACLE_HOME

Каталог в котором развернут конкретный продукт Oracle. Может быть несколько в пределах одного хоста.

$MW_HOME/Oracle_IDM

$ORACLE_COMMON

Каталог в который устанавливаются компоненты общие для всех продуктов Oracle.

$MW_HOME/oracle_common

$INSTANCE_HOME

Каталог в котором настроен экземпляр установленного продукта Oracle. Как правило, это системные компоненты (OHS, LDAP, EM) управляемые через Oracle Process Manager and Notification (OPMN).

$ORACLE_HOME/instances/inst1

$DOMAIN_HOME

Каталог с конфигурацией домена Weblogic

$MW_HOME/user_projects/domains/gis.lan

При выполнении команд рекомендуется заменять имя переменной на актуальный путь для соответствующего сервера.

Используемое ПО

Название

Комментарий

OpenSSL

Набор утилит для работы с протоколами SSL/TLS.

Версию для Windows можно скачать по адресу - "http://slproweb.com/products/Win32OpenSSL.html"

keytool

Утилита управления хранилищами криптографических ключей, цепочками сертификатов X.509 и доверенными сертификатами для приложений Java. Входит в состав JDK/JRE.

orapki

Утилита создания и управления хранилищами криптографических ключей Oracle Wallet.

Входит в состав продуктов Oracle и расположена в "$MW_HOME/oracle_common/bin".

Отдельно можно скачать с сайта Oracle Software Delivery Cloud - "https://edelivery.oracle.com".

Входит в состав "Oracle WebLogic Server Plug-in".

Необходима учетная запись на сайте Oracle.

1. Запрос сертификата и создание необходимых хранилищ.

Т.к. продукты Oracle это набор купленных решений от разных вендоров, то сетевое взаимодействие между компонентами не документировано и может происходить как по ip-адресам, так и по именам вида или . Что может приводить к различного рода ошибкам при использовании сертификатов X.509 для шифрования канала. Чтобы свести эти ошибки к минимуму предлагается использовать сертификаты X.509 с расширением "Subject Alternative Names" / "Дополнительное имя субъекта" (SAN) в котором будут перечислены все имена (как хоста так и FQDN) и ip-адреса кластера и его узлов. Однако не все продукты Oracle понимают такие сертификаты.

Процедура создания хранилищ сертификатов выполняется в два этапа:

  • создаем запрос на сертификат, получаем его и собираем ключевую пару в контейнер PKCS#12

  • контейнер PKCS#12 импортируем в хранилища сертификатов форматов JKS (Weblogic, NodeManager), JCEKS (OAM) и Oracle Wallet (WebTier/OHS, OID).

Важно:

часть продуктов Oracle требует, чтобы пароль на приватный ключ и на контейнер с сертификатами совпадали, хотя некоторые позволяют указать раздельные пароли для ключа и контейнера. Но рекомендуется использовать одинаковый. Из-за требований к сложности пароля для Oracle Wallet, должны соблюдаться следующие условия:
- минимальная длина пароля - 8 символов
- латинские символы
- как минимум одна цифра или спецсимвол.

Если пароль не будет соответствовать этим требованиям, то при попытке создать Oracle Wallet вы получите ничем не примечательную ошибку "Unable to save wallet at <имя_wallet>".

В примере ниже пароль - "KeyStorePassword#".

Рекомендуется всегда придерживаться правила:

<пароль_на_wallet> = <пароль_на_jks_контейнер> = <пароль_на_контейнер_P12> = <пароль_ключа>

Запрос на выпуск сертификата будет выполняться через OpenSSL. Все работы можно выполнять на АРМ с Windows, а затем перенести хранилища на целевые сервера. Все команды вводятся в одну строку с пробелами между параметрами. Если работы ведутся на хосте с ОС Linux, то команды выполняются от имени пользователя - владельца $ORACLE_HOME (как правило, это пользователь "oracle").

Синтаксис команд для выполнения на Linux и Windows одинаков.

Имена файлам хранилищ рекомендуется давать по имени целевого кластера/сервера. Ниже приведена процедура запроса сертификата и создания контейнеров разных форматов для кластера "webqas" состоящего из узлов "web1qas", "web2qas". Кластерный FQDN адрес - webqas.gis.lan.

1.1. Создать папку "webqas_x509" и перейти в нее.

1.2. Создать текстовый файл "gensan.cnf" с параметрами запроса сертификата:

[req]

distinguished_name = req_distinguished_name

req_extensions = v3_req
[req_distinguished_name]

countryName = Country Name (2 letter code)

countryName_default = RU

stateOrProvinceName = State or Province Name (full name)

stateOrProvinceName_default = Leningradskaya obl.

localityName = Locality Name (eg, city)

localityName_default = SPb

organizationalUnitName = Organizational Unit Name (eg, section)

organizationalUnitName_default = DV

organizationName = Organization Name

organizationName_default = OOO Gazinformservis

commonName = Common Name

commonName_default = webqas.gis.lan

commonName_max = 64
[v3_req]

keyUsage = digitalSignature, keyEncipherment

extendedKeyUsage=serverAuth

subjectAltName = @alt_names
[alt_names]

DNS.1 = webqas.gis.lan

DNS.2 = web1qas.gis.lan

DNS.3 = web2qas.gis.lan

DNS.4 = webqas

DNS.5 = web1qas

DNS.6 = web2qas

DNS.7 = 10.0.0.2

DNS.8 = 10.0.0.3

DNS.9 = 10.0.0.4

IP.1 = 10.0.0.2

IP.2 = 10.0.0.3

IP.3 = 10.0.0.4

где в разделе "[alt_names]" перечислить имена кластера и всех узлов как в виде так и FQDN. IP адреса перечислять в секции имен (DNS.N) и в секции адресов (IP.N). В поле "commonName_default" указать кластерное имя в формате FQDN.

1.3. Сгенерировать приватный ключ и запрос на сертификат

c:\> openssl req -newkey rsa:2048 -keyout webqas.key -passout pass:KeyStorePassword# -out webqas.req -config gensan.cnf -batch

Loading 'screen' into random state - done

Generating a 2048 bit RSA private key

.......+++

..................+++

writing new private key to 'webqas.key'

-----

Результатом выполнения команды будут два файла:
webqas.key - приватный ключ с паролем "KeyStorePassword#"
webqas.req - запрос на выпуск сертификата

После отработки команды рекомендуется сразу же сделать резервные копии этих файлов, т.к. повторное ее выполнение приведет к перезаписи файлов с ключом и запросом. И если уже выдан сертификат для старых ключа и запроса, то он будет недействителен.

Для проверки, параметры запроса можно посмотреть командой:

c:\> openssl req -in webqas.req -text -noout

<...>

X509v3 Extended Key Usage:

TLS Web Server Authentication

X509v3 Subject Alternative Name:

DNS:webqas.gis.lan, DNS:web1qas.gis.lan, DNS:web2qas.gis.lan, DNS:webqas, DNS:web1qas, DNS:web2qas, DNS:10.0.0.2, DNS:10.0.0.3, DNS:10.0.0.4, IP Address:10.0.0.2, IP Address:10.0.0.3, IP Address:10.0.0.4

<...>

1.4. Выпустить сертификат

Передать файл с запросом "webqas.req" оператору ЦС и в ответ получить файл с сертификатом - "webqas.cer".

Также необходимо получить сертификат выпускающего ЦС (или полную цепь доверия).

Переименоввать файл с корневым сертификатом в "root-ca.crt".

1.5. Собрать ключевую пару в контейнер PKCS#12

Преобразовать корневой и серверный сертификаты в формат PEM:

c:\> openssl x509 -in root-ca.crt -out root-ca.pem -outform PEM

c:\> openssl x509 -in webqas.cer -out webqas.pem -outform PEM

Собрать контейнер PKCS#12:

c:\> openssl pkcs12 -export -CAfile root-ca.pem -chain -name "server" -in webqas.pem -inkey webqas.key -passin pass:KeyStorePassword# -out webqas.p12 -passout pass:KeyStorePassword#

Loading 'screen' into random state - done

В результате ключевая пара будет экспортирована в файл "webqas.p12" формата контейнер PKCS#12 с паролем "KeyStorePassword#" на контейнер, паролем "KeyStorePassword#" на ключ и алиасом ключевой пары "server".

1.6. Импортировать ключевую пару в контейнер Java KeyStore (JKS)

Создать контейнер и импортировать в него ключевую пару:

c:\> keytool -v -importkeystore -srckeystore webqas.p12 -srcstorepass KeyStorePassword# -srcstoretype PKCS12 -destkeystore webqas.jks -deststorepass KeyStorePassword# -deststoretype JKS

Entry for alias server successfully imported.

Import command completed: 1 entries successfully imported, 0 entries failed or cancelled

[Storing webqas.jks]

Результатом команды будет файл "webqas.jks" формата контейнер JKS в который будет записана ключевая пара под алиасом "server" (под ним находилась в исходном контейнере). Импортировать корневой сертификат (или цепь доверия) ЦС:

c:\> keytool -importcert -v -noprompt -alias rootca -keystore webqas.jks -storepass KeyStorePassword# -file root-ca.pem -trustcacerts

Certificate was added to keystore

[Storing webqas.jks]

В результате выполнения команды в контейнер будет добавлен корневой сертификат ЦС под алиасом "rootca". Посмотреть содержимое контейнера можно командой:

c:\> keytool -list -keystore webqas.jks -storepass KeyStorePassword#
Keystore type: JKS

Keystore provider: SUN
Your keystore contains 2 entries
rootca, 13.07.2016, trustedCertEntry,

Certificate fingerprint (SHA1): 61:E8:40:4A:8B:EE:15:9C:E5:66:F0:A9:72:B3:98:70:FB:6B:69:53

server, 13.07.2016, PrivateKeyEntry,

Certificate fingerprint (SHA1): D0:A9:F6:67:63:0C:B8:BF:99:FD:5C:F3:67:AF:61:64:C9:DD:96:D7

В результате создан контейнер JKS который можно использовать как "Identity Store", так и "Trust Store" в режиме конфигурации SSL "CustomIdentityAndCustomTrust" на серверах приложений Oracle Weblogic.

1.7. Импортировать ключевую пару в контейнер Oracle Wallet

Особенностью контейнера Oracle Wallet является то, что это папка с набором файлов, он может содержать только одну ключевую пару и несколько доверенных сертификатов.

Создть контейнер с возможностью автологина:

c:\> orapki wallet create -wallet webqas -auto_login -pwd KeyStorePassword#

В результате выполнения команды будет создана папка "webqas" с файлами:

  • cwallet.sso - хранилище сертификатов, используется для автологина. Без пароля

  • ewallet.p12 - хранилище сертификатов. С паролем.

Содержимое обоих файлов хранилища синхронизируется при внесении изменений.

Импоровать контейнер JKS в Oracle Wallet:

c:\> orapki wallet jks_to_pkcs12 -wallet webqas -keystore webqas.jks -jkspwd KeyStorePassword# -pwd KeyStorePassword#

Посмотреть содержимое Wallet:

c:\> orapki wallet display -wallet webqas -pwd KeyStorePassword#

Oracle PKI Tool : Version 11.1.1.9.0

Copyright (c) 2004, 2015, Oracle and/or its affiliates. All rights reserved.
Requested Certificates:

User Certificates:

Subject: CN=webqas.gis.lan,OU=DV,O=OOO Gazinformservis,L=SPb,ST=Leningradskaya obl.,C=RU

Trusted Certificates:

Subject: CN=RootCA,O=OOO Gazinformservis,C=RU

Все необходимые хранилища созданы и можно приступать к настройке SSL на серверах с их использованием.

Далее все действия выполняются со сгенерированными хранилищами "webqas", но необходимо понимать, что для серверов разных кластеров это будут свои хранилища. На узлы одного кластера будет устанавливаться одно и то же хранилище. Все команды выполняются от пользователя, от имени которого запускаются сервера приложений. Как правило, это "oracle:oinstall". Команды выполняются на сервере на котором установлен и сконфигурирован компонент для которого настраивается SSL.

2. Копирование контейнеров на узел кластера

Создать каталог "$MW_HOME/keystores" и скопировать в него файлы "webqas.jks", "webqas.p12", "root-ca.pem" и каталог "webqas".

3. Экземпляр Java

Сгенерированные хранилища будут использоваться конкретными сервисами серверов приложений. Однако управление работой компонент домена Weblogic выполняется с сервера AdminServer через утилиту WebLogic Scripting Tool (WLST) которая оперирует скриптами на языке Jython. Для межсетевого взаимодействия используется проприетарный протокол t3/t3s.

3.1. Чтобы появилось доверие к сертификатам установленным на остальные компоненты, необходимо добавить корневой сертификат (или цепь доверия) ЦС в стандартное хранилище доверенных сертификатов Java. По умолчанию пароль для этого хранилища "changeit".

$ keytool -importcert -noprompt -alias rootca -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -file $MW_HOME/keystores/root-ca.pem -trustcacerts

Проверить, что сертификат корректно добавился:

$ keytool -list -alias rootca -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
rootca, 13.07.2016, trustedCertEntry,

Certificate fingerprint (SHA1): 61:E8:40:4A:8B:EE:15:9C:E5:66:F0:A9:72:B3:98:70:FB:6B:69:53

4. Сервер приложений Weblogic

Настройка выполняется через утилиту WLST (WebLogic Scripting Tool) для всех серверов во всех развернутых доменах Weblogic.

4.1. Запустить WLST:

$ORACLE_COMMON/bin/wlst.sh

4.2. Подключиться к AdminServer домена:

wls:/offline> connect('weblogic','<пароль_weblogic>','t3://wls-admin.gis.lan:7001')

4.3. Перейти в режим редактирования:

wls:/gis.lan/serverConfig> edit()

wls:/gis.lan/edit> startEdit()

4.4. Узнать список серверов в домене:

wls:/gis.lan/serverConfig> ls('/Servers/')

dr-- AdminServer

4.5. Описанную ниже процедуру выполнить для каждого сервера из полученного предыдущей командой списка.

Перейти в конфигурацию сервера (в примере ниже - AdminServer):

wls:/gis.lan/edit !> cd("/Servers/AdminServer")

wls:/gis.lan/edit/Servers/AdminServer !>

Выставить тип хранилища, пути и пароли до хранилищ с сертификатами ( заменить на реальный путь на хосте на котором работает weblogic-сервер):

wls:/gis.lan/edit/Servers/AdminServer !> set("KeyStores", "CustomIdentityAndCustomTrust")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomIdentityKeyStoreFileName", "/keystores/webqas.jks")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomIdentityKeyStorePassPhrase", "KeyStorePassword#")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomIdentityKeyStoreType", "JKS")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomTrustKeyStoreFileName", "/keystores/webqas.jks")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomTrustKeyStorePassPhrase", "KeyStorePassword#")

wls:/gis.lan/edit/Servers/AdminServer !> set("CustomIdentityKeyStoreType", "JKS")

Разрешить и выставить параметры SSL:

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> cd("/Servers/AdminServer/SSL/AdminServer")

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> set("Enabled", "true")

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> set("HostnameVerificationIgnored", "true")

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> set("ServerPrivateKeyAlias", "server")

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> set("ServerPrivateKeyPassPhrase", "KeyStorePassword#")

Проверить корректность внесенных изменений:

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> validate()

Сохранить измененния:

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> save()

Активировать изменения и выйти:

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> activate(block="true")

wls:/gis.lan/edit/Servers/AdminServer/SSL/AdminServer !> exit()

После внесения изменений необходимо перезагрузить сервер Weblogic для которого они выполнялись.

5. NodeManager

Компонент управляющий дистанционным запуском/остановкой сервера Weblogic на хосте. В пределах хоста может быть развернуто несколько экземпляров NodeManager обслуживающих разные $MW_HOME. Настройки необходимо выполнять для всех настроенных экземпляров. Настройки NodeManager хранятся в текстовом файле:

$NM_HOME/nodemanager.properties

Перед внесением изменений необходимо остановить настраиваемый экземпляр NodeManager.

5.1. Для включения SSL необходимо указать, что NodeManager работает в режиме SSL и указать пути до хранилища, дописав в конец файла (или изменить значения существующих) следующие параметры ( заменить на реальный путь на узле на котором работает NodeManager):

KeyStores=CustomIdentityAndCustomTrust

CustomIdentityKeyStoreFileName=/keystores/webqas.jks

CustomIdentityKeyStoreType=JKS

CustomIdentityAlias=server

CustomIdentityKeyStorePassPhrase=KeyStorePassword#

CustomIdentityPrivateKeyPassPhrase=KeyStorePassword#

CustomTrustKeystoreFileName=/keystores/webqas.jks

CustomTrustKeyStoreType=JKS

и заменить значение параметра "SecureListener" на

SecureListener=true

После внесения изменений запустить NodeManager.

После запуска NodeManager, значения параметров содержащих пароли будут зашифрованы.

5.2. После изменения режима работы NodeManager на SSL, необходимо изменить настройки в домене Weblogic и указать, что подключению к данному NodeManager теперь происходит по протоколу SSL.

Подключиться к AdminServer домена:

wls:/offline> connect("weblogic","<пароль_weblogic>","t3:// wls-admin.gis.lan:7001")

Перейти в режим редактирования:

wls:/gis.lan/serverConfig> edit()

wls:/gis.lan/edit> startEdit()

Узнать список хостов с NodeManager в домене:

wls:/gis.lan/edit !> ls("/Machines/")

drw- wls-admin.gis.lan

Перейти в конфигурацию настроенного выше хоста и сменить тип подключения к нему на SSL:

wls:/gis.lan/edit !> cd("/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan")

wls:/gis.lan/edit/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan !> set("NMType","SSL")

Проверить корректность внесенных изменений:

wls:/gis.lan/edit/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan !> validate()

Сохранить изменения:

wls:/gis.lan/edit/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan !> save()

Активировать изменения и выйти:

wls:/gis.lan/edit/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan !> activate(block="true")

wls:/gis.lan/edit/Machines/wls-admin.gis.lan/NodeManager/wls-admin.gis.lan !> exit()

После изменения режима подключения к NodeManager требуется перезагрузка сервера Weblogic "AdminServer".

6. Кластер OAM

6.1. Настроить SSL для Weblogic на каждом узле кластера.

6.2. Настроить SSL для NodeManager на каждом узле кластера.

6.3. Настройка SSL для приложения OAM.

6.3.1 Прежде всего, необходимо узнать пароль на хранилище сертификатов OAM которое хранится в файле "$DOMAIN_HOME/config/fmwconfig/.oamkeystore".

Для этого необходимо запустить WLST из каталога $ORACLE_HOME на узле с AdminServer домена содержащего компоненты OAM:

$ $ORACLE_HOME/common/bin/wlst.sh

wls:/offline> connect("weblogic","<пароль_weblogic>","t3s:// wls-admin.gis.lan:7002")

wls:/oam_domain/serverConfig> domainRuntime()

wls:/oam_domain/domainRuntime> listCred(map="OAM_STORE",key="jks")

OAM Keystore Password: fgl4igocnuafkjdnc9bqtggtj5

6.3.2. Затем импортировать ключевую пару из "$MW_HOME/keystores/webqas.p12" в хранилище OAM (тип хранилища - JCEKS).

Действия выполняются на узле с AdminServer.

$ keytool -importkeystore -v -srckeystore $MW_HOME/keystores/webqas.p12 -srcstorepass KeyStorePassword# -srcstoretype PKCS12 -destkeystore $DOMAIN_HOME/config/fmwconfig/.oamkeystore -deststorepass fgl4igocnuafkjdnc9bqtggtj5 -deststoretype jceks

Если при импорте контейнера возникает ошибка "алиас server уже существует", то предварительно необходимо переименовать алиас "server" или удалить его (предварительно сделав резервную копию хранилища).

$ keytool -changealias -v -alias server -destalias server_old -keypass KeyStorePassword# -keystore $DOMAIN_HOME/config/fmwconfig/.oamkeystore -storepass fgl4igocnuafkjdnc9bqtggtj5 -storetype jceks

Убедиться, что под алиасом "server" сохранен новый сертификат.

$ keytool -list -v -alias server -keystore $DOMAIN_HOME/config/fmwconfig/.oamkeystore -storepass fgl4igocnuafkjdnc9bqtggtj5 -deststoretype jceks

6.3.3. Дальнейшие настройки выполняются через консоль OAM.

Зайти в консоль OAM - https://oam.gis.lan:7002/oamconsole.

Перейти в "Access Manager Settings" и изменить значение параметров:

"OAM Server Port" = "14101"

"OAM Server Protocol" = HTTPS

"PEM KeyStore Alias" = "server" (алиас новой ключевой пары)

"PEM KeyStore Alias Password" = "KeyStorePassword#" (пароль на ключ новой ключевой пары)

После изменения настроек необходимо поочередно перезагрузить сервера OAM через консоль WLS. При перезагрузке все OAM сервера получат новую версию хранилища ".oamkeystore" с сервера "AdminServer".

7. Кластер OHS

7.1. Конфигурация SSL для экземпляра WebTier/OHS.

Настройка SSL для экземпляра OHS сводится к указанию пути до нового хранилища Oracle Wallet. Для этого необходимо изменить значение переменной "SSLWallet" в конфигурационном файле:

для WebTier 11g - "$INSTANCE_HOME/config/OHS/<имя_экземпляра>/ssl.conf"

для OHS12 - "$DOMAIN_HOME/config/fmwconfig/components/OHS/instances/<имя_экземпляра>/ssl.conf"

на:

SSLWallet /keystores/webqas

где вместо подставить реальный путь на этом узле.

7.2. Конфигурация SSL для модуля "mod_weblogoic".

Если на экземпляре OHS подключен модуль mod_weblogic (балансировка запросов к серверам Weblogic), то для него тоже необходимо настроить параметры SSL. Его конфигурация хранится в файле для:

WebTier 11g - "$INSTANCE_HOME/config/OHS/<имя_экземпляра>/mod_wl_ohs.conf"

для OHS12 - "$DOMAIN_HOME/config/fmwconfig/components/OHS/instances/<имя_экземпляра>/mod_wl_ohs.conf"

Для настройки SSL модуля необходимо добавить в секцию "" следующие строки:



...

### SSL

WlSSLWallet /keystores/webqas

WLProxySSL ON

WLProxyPassThrough ON

SecureProxy ON

...



где вместо подставить реальный путь на этом узле.

7.3. После внесения изменений в конфигурационные файлы необходимо перезапустить экземпляр OHS.

Для OHS12:

$ $DOMAIN_HOME/bin/stopComponent.sh <имя_экземпляра>

$ $DOMAIN_HOME/bin/startComponent.sh <имя_экземпляра>

Для WebTier 11g:

$ $INSTANCE_HOME/bin/opmnctl stopall

$ $INSTANCE_HOME/bin/opmnctl startall

$ $INSTANCE_HOME/bin/opmnctl status -l

8. Кластер OIM

8.1. Настроить SSL для Weblogic на каждом узле кластера.

8.2. Настроить SSL для NodeManager на каждом узле кластера.

9. Кластер OID

9.1. Настроить SSL для Weblogic на каждом узле кластера.

9.2. Настроить SSL для NodeManager на каждом узле кластера.

9.3. Настройка SSL на экземпляре системного компонента OID (сервисе LDAP).

Необходимо зайти в консоль управления EM домена OID (https://wls-admin.gis.lan:7002/em) пользователем weblogic.



9.3.1. Перейти в раздел "Identity and Access" и выбрать экземпляр OID. В меню "Oracle Internet Directory" выбрать "Security > Wallets".



Откроется окно со списком зарегистрированных контейнеров Oracle Wallet. Каждый wallet содержит свой список сертификатов и ключей.



Нажать на кнопку "Import" и импортировать подготовленный ранее wallet с новым сертификатом.



Для импорта указать файл с расширением .sso, поставить отметку, что это "auto-login" (не требует пароля для использования) и указать имя, под которым данный wallet будет отображаться в списке.



9.3.2. Затем в меню "Oracle Internet Directory" выбрать "Administration > Server Properties".



Для изменения настроек SSL для экземпляра OID нажать на ссылку "Change SSL Settings".



В открывшемся окне отметить флаг "Enable SSL", выбрать из списка "Server Wallet Name" wallet с новым сертификатом и выставить в параметре "SSL Authentication" значение "Server Authentication". Сохранить изменения.

9.3.3. После внесения изменений экземпляр OID необходимо перестартовать: в меню "Oracle Internet Directory" выбрать "Control > Stop", затем "Control > Start".

9.3.4. Повторить процедуру для всех зарегистрированных экземпляров OID.

Похожие:

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРуководство по разработке Интернет-приложений J2ee с помощью Oracle...
Чтобы облегчить переход к Java-технологиям, в книге дан сравнительный анализ концепций pl/sql и Oracle Forms и программных технологий...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconИнструкция по обновлению менеджмента и нод Check
Инструкция по обновлению менеджмента и нод Check Point R65 с установленным патчем гост до версии R75. 40Vs (версия патча гост 0)...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconПриложение №2 к Мониторингу цен Техническое задание на оказание услуг...
Программа предназначена для организации электронного архива нормативно-технологической документации, в том числе конструкторской,...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconИнструкция по установке и настройке сертификата ключа подписи, сертификатов...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconЗамечания по миграции продуктов на основе «цфт-платформа Развития»...
Замечания по миграции продуктов на основе «цфт-платформа развития» на Oracle 11g Release 2

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь icon«Management»
«Management» bedeutet auch im weiteren Sinne die Vorgesetzten aller Leistungsebenen eines Unternehmens, eingeleitet in Top-, Middle-...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconИнструкция по распределению прав доступа в подсистеме “Отчетность”
...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРабочая программа учебной дисциплины
«Warehouse management» are designed to train students in the 080200. 68 «Management», qualification (degree) to be earned – Master...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРабочая программа учебной дисциплины (рпуд)
«Operational management» are designed to train students in the 080200. 68 «Management», qualification (degree) to be earned – Master...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРуководство Oracle
На них не следует полагаться при принятии решений относительно закупок. Разработка, выпуск и график поставки функций или функциональности,...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРеферат «сохранение данных»
В windows 2000 ее заменил модуль административной консоли Disk Management. Для работы с ним следует открыть папку Administrative...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconИнструкция по настройке рабочего места Установить браузер с сайта
Главное меню Настройки Дополнительные Просмотр сертификатов). Если сертификата нет добавить (Скачать с сайта

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconOracle human capital management интегрированное решение по управлению персоналом
Заполнение форм вручную полностью заменяется работой в единой системе. Устраняется необходимость ручного переноса и копирования информации...

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconНа тему «Управление проектами разработки приложений на мобильных...
Рынок мобильных приложений и его специфика. Определение понятий проект и управление проектами. 6

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconИнструкция по настройке автоматизированного рабочего места для сдачи...
Установка корневого сертификата удостоверяющего центра и списка отозванных сертификатов. 8

Инструкция по настройке и обновлению сертификатов X. 509 на серверах приложений Oracle группы продуктов Identity Management (Weblogic, oam, oim, oid, WebTier/ohs) Используемые переменные и их взаимосвязь iconРуководство по лицензированию Содержание
Для Microsoft® Lync™ Server 2010 предлагается несколько гибких вариантов развертывания. Продукт можно развертывать локально, размещать...


Руководство, инструкция по применению




При копировании материала укажите ссылку © 2018
контакты
rykovodstvo.ru
Поиск