Här skulle vi titta på de detaljerade stegen för att aktivera TLS i Oracle Apps R12.2

Innehållsförteckning

Introduktion:

Datan mellan webbläsare och webbserver färdas okrypterad i R12-applikationen, så lösenordet och annan information kan spåras av sniffer. Vi undviker detta genom att implementera SSL i R12.

Med SSL-implementering färdas data i de krypterade formerna och endast webbläsare och webbserver kan dekryptera den.

Implementeringen kräver SSL-certifikatet och konfigurationen i R12-miljön   enligt konfigurationen

Vad är SSL?

SSL och TLS är det kryptografiska protokollet som säkerställer integritet mellan kommunicerande applikationer och deras användare på Internet

Vad är Transport Layer Security (TLS)

Transport Layer Security, eller TLS, är efterföljaren till SSL. TLS, liksom SSL, är ett protokoll som krypterar trafik mellan en klient och en server. TLS skapar en krypterad anslutning mellan två maskiner som gör att privat information kan överföras utan problem med avlyssning, datamanipulation eller meddelandeförfalskning.

Så fungerar SSL

1. Klienten skickar en begäran till servern med HTTPS-anslutningsläge.
2. Servern presenterar sitt digitala certifikat för klienten. Detta certifikat innehåller serverns identifierande information som servernamn, organisation och serverns offentliga nyckel och digital signatur för CA:s privata nyckel
3. Klienten (webbläsaren) har de publika nycklarna för alla CA. Den dekrypterar det digitala certifikatets privata nyckel. Denna verifiering bevisar att avsändaren hade tillgång till den privata nyckeln och därför sannolikt är den person som är associerad med den offentliga nyckeln. Om verifieringen går bra, autentiseras servern som en betrodd server.
4. Klienten skickar till servern en lista över de krypteringsnivåer, eller chiffer, som den kan använda.
5. Servern tar emot listan och väljer den starkaste krypteringsnivån som de har gemensamt.
6. Klienten krypterar ett slumpmässigt nummer med serverns publika nyckel och skickar resultatet till servern (som endast servern ska kunna dekryptera med sin privata nyckel); båda parter använder sedan slumptalet för att generera en unik sessionsnyckel för efterföljande kryptering och dekryptering av data under sessionen

ssl-implementeringen kommer att bero på topologin för R12-implementeringen. Jag är här och lyfter fram alla de viktigaste.

TLS-avslutningspunkt

• En TLS-termineringspunkt är slutpunktsservern för den krypterade anslutningen som har initierats av en klient (till exempel en webbläsare).
• I fallet med Oracle E-Business Suite kan Oracle HTTP-servern fungera som en TLS-avslutningspunkt. En alternativ TLS-avslutningspunkt, till exempel en omvänd proxy eller lastbalanserare, kan konfigureras framför Oracle HTTP-servern.

Olika SSL-topologi

• En enda webbserverdistribution med TLS-termineringspunkt som webbserver

Det här är ganska enkelt. Vi kommer att behöva det digitala certifikatet för webbservern. Stegen är rakt fram. Trafiken mellan webbläsare och webbserver kommer att krypteras

• Att ha en lastbalanserare som serverar 2 eller fler webbservrar gör det lite komplicerat

I det här fallet kan vi ha följande alternativ

1.End to end-kryptering av trafik (TLS-termineringspunkt som webbserver)

Hela trafikflödet, dvs från webbläsare till lastbalanserare och från lastbalanserare till webbserver är krypterat

Det finns två sätt att göra det

a) Pass-through-konfiguration :Belastningsbalansen i det här fallet dekrypterar/krypterar inte meddelandet .det går bara genom trafiken till webbservern

b) Dekryptering/kryptering :Lastbalansen i det här fallet dekrypterar trafiken på lastbalanseringsnivån och krypterar den igen och skickar den till webbservern som återigen dekrypterar den

2. SSL-terminator (Alternativ TLS-termineringspunkt):Trafiken mellan webbläsare och lastbalanserare är endast krypterad. Lastbalansen fungerar som SSL-terminator och avslutar SSL på lastbalanseringsnivån och skickar den okrypterade trafiken till webbservern.

Steg för att utföra konfiguration för varje topologi finns nedan

En enda webbserverdistribution med TLS-termineringspunkt som webbserver

Viktiga poäng

1) Uppgradera till ett minimum av Java Development Kit (JDK) 7.

Användningen av TLS 1.2 kräver åtminstone Java 7

2) Uppgradera Oracle Fusion Middleware.

Användningen av TLS 1.2 kräver Oracle Fusion Middleware 1.1.1.9

3) Applicera produktspecifika plåster.

Oracle Workflow – Använd patch 22806350 :R12.OWF.C för att lösa ett Oracle Workflow Notification Mailer-problem.

Oracle iProcurement – ​​Applicera patchen/korrigeringarna som nämns i My Oracle Support Knowledge Dokument 1937220.1 , Oracle iProcurement, Exchange och OSN misslyckas efter att leverantörswebbplatsen migrerat från SSLv3 till TLS-protokoll (med SSL Handshake SSLIOClosedOverrideGoodbyeKiss) , som motsvarar lämpliga programversioner.

Oracle iPayment – ​​Använd patch 22522877 :R12.IBY.C.

Oracle XML Gateway – Använd patch 22326911 :R12.ECX.C.

  Steg 1

Ställ in din miljö

Stegen som beskrivs i det här avsnittet måste utföras på det (pågående) körfilsystemet för att säkerställa att TLS-installationen sedan förökas till patchfilsystemet under nästa online-patchning. Det bör inte finnas en aktiv lappningscykel vid denna tidpunkt. För att kontrollera om en online-patchningscykel redan är aktiv eller inte, kan du använda följande kommando:

UNIX:

$ adop -status

1. Logga in på programnivån Oracle E-Business Suite Release 12.2 som OS-användare som äger installationsfilerna.
2. Filsystemet med programkontextfilvariabeln s_file_edition_type inställt på "kör" anger körningsfilsystemet. Källa till miljöfilen för din programnivå (.env), som finns i APPL_TOP katalogen i körfilsystemet. Källkod inte APPS.env filen, annars kommer miljövariablerna 10.1.2 att hämtas och Oracle Wallet Manager 11g kommer inte att starta. Efter att ha hämtat miljöfilen ska miljövariabeln $FILE_EDITION köras.
3. Ställ in PATH-miljövariabeln så att den inkluderar Fusion Middleware-platsen och DISPLAY-variabeln för owm gui

Till exempel

export PATH=$FMW_HOME/webtier/bin:$FMW_HOME/oracle_common/bin:$PATH

export DISPLAY=:0.0

 S steg 2

Skapa en plånbok

Platsen s_web_ssl_directory används fortfarande av vissa Oracle E-Business Suite Release 12.2-komponenter (till exempel XML Gateway Transportation Agent OXTA) och under kloningsprocessen för Oracle Fusion Middleware.

Vi kan hitta den här platsen på nedan sätt

cat $CONTEXT_FILE|grep “s_web_ssl_directory”

Öppna Wallet Manager som en bakgrundsprocess:

På Oracle Wallet Manager-menyn, navigera till Wallet>

Nytt.

Svar NEJ till:Din standardplånbokskatalog finns inte. Vill du skapa den nu?

Den nya plånboksskärmen kommer nu att uppmana dig att ange ett lösenord för din plånbok

Ange lösenordet och kom ihåg det

En ny tom plånbok har skapats. Vill du skapa en certifikatbegäran just nu?

Efter att ha klickat på "Ja" på skärmen Skapa certifikatbegäran dyker upp:

Fyll i lämpliga värden där:

Välj ditt land från rullgardinsmenyn och för nyckelstorlek, välj 2048 som ett minimum. Klicka på OK.

Klicka på  På begärt certifikat

Du måste exportera certifikatbegäran innan du kan skicka in den till en certifieringsmyndighet.

1. Klicka på Certifikat [Begärt] för att markera det.
2. Klicka på Operations>
från menyn

Exportera certifikatbegäran

3. Spara filen som server.csr
4. Klicka på Plånbok från menyn och klicka sedan på Spara.
5. På skärmen Välj katalog ändra katalogen till din fullt kvalificerade plånbokskatalog.
6. Klicka på OK.
7. Klicka på Plånbok från menyn och markera rutan Automatisk inloggning.

Se till att göra detta lösenord till något du kommer ihåg. Du måste använda lösenordet när du öppnar plånboken med Oracle Wallet Manager eller utför operationer på plånboken med kommandoradsgränssnittet. Med automatisk inloggning aktiverade processer som skickats av OS-användaren som skapade plånboken behöver inte ange lösenordet för att komma åt plånboken.

8. Avsluta Wallet Manager.

Plånbokskatalogen kommer nu att innehålla följande filer:

cwallet.sso

ewallet.p12

server.csr

Du kan nu skicka in server.csr till din certifieringsmyndighet för att begära ett servercertifikat

Spara plånboken med plånbok och spara och ange katalogsökvägen

Skicka certifikatbegäran till en certifikatutfärdare .

Obs:Ändringar av signaturalgoritm

Branschstandarder för krypteringsalgoritmer är ständigt under översyn. Certifikat utfärdade med en SHA-1-baserad signaturhashalgoritm som industristandard fasas ut. Många certifikatmyndigheter rekommenderar eller kräver SHA-2 som minimisignaturalgoritm för att utfärda certifikat. Tidsramen för att flytta till SHA-2 varierar beroende på vilken certifikatutfärdare som används. Kravet på SHA-2 påverkar också mellanliggande certifikat som också måste vara SHA-2 för att kunna kopplas tillbaka till slutenhetens SHA-2-certifikat som utfärdats. Rotcertifikat påverkas inte.

Se följande My Oracle Support Knowledge Documents för mer information:

Dokument 1448161.1 , Hur man producerar CSR med en SHA-1 eller bättre signaturalgoritm

Dokument 1275428.1 , Supportstatus för SHA-2 i Oracle Application Server (10.1.2.X.X/10.1.3.X.X) och Fusion Middleware 11g (11.1.1.X)

Dokument 1939223.1 , Är det möjligt att generera SHA-2-certifikatsigneringsförfrågningar med Oracle Wallet Manager eller ORAPKI i FMW11g

Beroende på din certifikatleverantör, kanske MD5-baserade certifikatförfrågningar (CSR) som genereras av Oracle Wallet Manager (OWM) inte accepteras.

Till exempel kommer Symantec nu endast att acceptera SHA-1 2048-bitarsbaserade CSR:er eller högre. På grund av en strömbegränsning i både OWM och orapki, är de oförmögna att generera något annat än MD5-baserade CSR. OWM kan acceptera SHA-2 eller högre betrodda certifikat och servercertifikat, det kan bara inte generera dem.

I dessa fall är lösningen att använda OpenSSL för att generera CSR. Ett exempel på denna process ges nedan.

1. Använd OpenSSL för att ta den befintliga plånboken och spara den som en ny fil i PEM-format:

openssl pkcs12 -in ewallet.p12 -noder -out nonoracle_wallet.pem

Använd OpenSSL för att generera begäran som anger SHA-2:

openssl req -new -key nonoracle_wallet.pem -sha256 -out server.csr

Vid det här laget kommer OpenSSL att fråga dig om förfrågningsattributen. Var noga med att ange samma data som du angav när du skapade CSR i OWM. Ange inte ett "utmaningslösenord" eftersom detta har ansetts vara osäkert av de flesta certifierande myndigheter.

2. CSr:n ska nu skickas till din certifikatutfärdare för att begära ett servercertifikat.
3. När du har fått ditt nyligen utfärdade certifikat kan du importera detta till din plånbok med OWM och fortsätter med nästa steg nedan

Steg 5

Importera ditt servercertifikat till plånboken

När du har fått ditt servercertifikat från din certifieringsmyndighet måste du importera det till din plånbok. Kopiera certifikatet till server.crt i plånbokskatalogen på din server med någon av följande metoder:

1. ftp certifikatet (i binärt läge)
2. kopiera och klistra in innehållet i server.crt

Följ dessa steg för att importera server.crt till din plånbok:

1. Öppna Wallet Manager som en bakgrundsprocess:

$ owm &

2. Klicka på Plånbok från menyn och sedan på Öppna.
3. Svara Ja när du uppmanas:

Din standardplånbokskatalog finns inte.

Vill du fortsätta?

4. På skärmen Välj katalog ändra katalogen till din fullt kvalificerade plånbokskatalog och

klicka på OK

5. Ange ditt plånbokslösenord och klicka på OK.
6. På Oracle Wallet Manager-menyn navigerar du till Operations Import Användarcertifikat. Servercertifikat är en typ av användarcertifikat. Eftersom certifieringsmyndigheten utfärdade ett certifikat för servern och placerade dess distinguished name (DN) i fältet Ämne, är servern certifikatets ägare, alltså "användaren" för detta användarcertifikat.

7. Klicka på OK.
8. Dubbelklicka på server.crt för att importera den.
9. Spara plånboken:
10. På Oracle Wallet Manager-menyn klickar du på Plånbok.
11. Verifiera att rutan för automatisk inloggning är markerad.
12. Klicka på Spara

Obs:Om alla betrodda certifikat som utgör kedjan av server.crt inte finns i plånboken, kommer det att misslyckas att lägga till certifikatet. När plånboken skapades inkluderades certifikaten för de vanligaste CA:erna (som VeriSign, GTE och Entrust) automatiskt. Kontakta din certifieringsmyndighet om du behöver lägga till deras certifikat och spara den medföljande filen som ca.crt i plånbokskatalogen i base64-format. Ett annat alternativ är att följa instruktionerna nedan för att skapa ca.crt från ditt servercertifikat (server.crt). Om din certifieringsmyndighet tillhandahöll ett mellanliggande certifikat (för att slutföra kedjan) och spara sedan den tillhandahållna filen som intca.crt i ett Base64-format, detta måste importeras till Oracle Wallet Manager innan servern.crt importeras. Certifikat som består av flera delar (som typ P7B) skulle också falla i denna kategori

Skapa din certifieringsmyndighets certifikat

För att skapa ca.crt

1. Kopiera server.crt till din PC (om nödvändigt) med någon av följande metoder:

ftp (i binärt läge) server.crt till din dator .

kopiera innehållet i server.crt och klistra in i anteckningsblocket på datorn. Spara filen som server.crt

2. Dubbelklicka på server.crt för att öppna den med Cyrpto Shell Extension.
3. På fliken Certifieringsväg klicka på den första (översta) raden och sedan Visa certifikat.
4. På fliken Detaljer klickar du på Kopiera till fil, detta startar exportguiden.
5. Klicka på Nästa för att fortsätta.
6. Välj Base64-kodad X.509 (.CER) och klicka på Nästa.

7. Klicka på Bläddra och navigera till den katalog du väljer.
8. Ange ca.crt som namn och klicka på ok för att exportera certifikatet.
9. Stäng guiden.
10. Kopiera ca.crt tillbaka till din plånbokskatalog (om nödvändigt) med någon av följande metoder:

ftp (i binärt läge) ca.crt till din applikationsnivå plånbokskatalog

kopiera innehållet i ca.crt och klistra in i en ny fil i din plånbokskatalog med en textredigerare. Spara filen som ca.crt

Detaljerade steg för att importera certifikat med skärmbilder

Klicka sedan på plånbok -> öppna

Klicka på Ja

Ange den fullständiga sökvägen till wwallet-katalogen

Ange plånbokslösenordet

Now Operations:Importera användarcertifikat

Alternativt kan du lägga till certifikatet

orapki wallet add \ 
 -wallet . \
-trusted_cert \
-cert ca.cer \
-pwd <pwd>

orapki wallet add \
-wallet . \
-trusted_cert \
-cert intca.cer \
-pwd <pwd>

 
orapki wallet add \
-wallet .\
-user_cert \
-cert tech.cer \
-pwd <pwd>

 

Om du behöver importera CA-certifikatet måste du också lägga till innehållet i filen ca.crt till filen b64InternetCertificate.txt som finns i katalogen 10.1.2 ORACLE_HOME/sysman/config:

$ cat ca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Om du också fick ett mellanliggande certifikat (intca.crt) måste du också lägga till det i b64InternetCertificate.txt:

$ cat intca.crt>> <10.1.2 ORACLE_HOME>/sysman/config/b64InternetCertificate.txt

Steg 6 – Ändra Oracle HTTP Server-plånboken .

/Apache används fortfarande av vissa Oracle E-Business Suite Release 12.2-komponenter, men används inte av Oracle HTTP-servern.

Kopiera /Apache plånboken (cwallet.sso ) till /config/OHS//keystores/default katalogplats

Du kan hitta dessa variabler från kontextfilen

cat $CONTEXT_FILE|grep “s_ohs_instance_loc”

cat $CONTEXT_FILE|grep “s_ohs_component”

Steg 7 – Ändra OPMN-plånboken och konfigurera chiffersviterna .

Ändra OPMN-plånboken

Standardplatsen för OPMN-plånboken är i /config/OPMN/opmn/wallet katalogen.

Vi kan hitta den här platsen på nedan sätt

cat $CONTEXT_FILE|grep “s_ohs_instance_loc”

1. Navigera till /config/OPMN/opmn/wallet katalogen.
2. Flytta befintliga plånboksfiler till en säkerhetskopia om du vill använda dem igen i framtiden.
3. Kopiera cwallet.sso filerna från /config/OHS//keystores/default katalogen till den aktuella katalogen.

Konfigurera OPMN Cipher Suites

Du måste utföra den här konfigurationen för att upprätthålla starka chiffersviter på OPMN:s fjärrport.

1. Se till att alla processer är nere.
2. Öppna opmn.xml filen som finns under din webbnivåinstans.
3. Låt toppen av filen, leta efter SSL-alternativen i avsnittet .
   Ändra:

wallet-file=””/>
till

wallet-file=”” ssl-versions=”TLSv1.0″
ssl-ciphers=””/>
Följande lista specificerar de giltiga chiffersviterna som kan användas:

• SSL_RSA_WITH_AES_256_CBC_SHA
• SSL_RSA_WITH_AES_128_CBC_SHA
• SSL_RSA_WITH_3DES_EDE_CBC_SHA

Till exempel:

wallet-file=”/EBS_web_EBSDB_OHS1/config/OPMN/opmn/wallet” ssl-versions=”TLSv1.0″
ssl-ciphers=”SSL_RSA_WITH_AES_BCSHA_3SHA_BCSHA_18_AES_1000_1000/1000/1/1/>

Redigera admin.conf filen.
Ändra:

SSLcipherSuite SSL_RSA_WITH_RC4_128_SHA
SSLProtocol nzos_Version_1_0 nzos_Version_3_0

till

SSLcipherSuite :
SSLProtocol nzos_Version_1_0 nzos_Version_1_1 nzos_Version_1_2

Steg 8 – Ändra Oracle Fusion Middleware Control Console .

Fusion Middleware Control Console använder funktionaliteten hos OPMN för att hantera din Oracle Fusion Middleware Enterprise.

Flytta de befintliga plånboksfilerna till en säkerhetskopieringskatalog om du skulle vilja använda dem igen i framtiden.

• $EBS_DOMAIN_HOME/opmn///plånbok
• $EBS_DOMAIN_HOME/opmn//plånbok
• $FMW_HOME/webtier/instances//config/OHS//proxy-wallet

Vi kan hitta den här platsen på nedan sätt

cat $CONTEXT_FILE|grep “EBS_DOMAIN_HOME”

Kopiera cwallet.sso filen från /config/OPMN/opmn/wallet katalogen till alla tre platser som nämns ovan.

Obs :I fallet med ett delat filsystem och konfiguration med flera noder, görs uppdateringar av de två första katalogerna på den primära noden och uppdateringar av den tredje katalogen görs på respektive programnivånod där OHS konfigureras för TLS. Anledningen är att de två första katalogerna endast kommer att finnas på den primära noden, och den tredje katalogen kommer endast att finnas på varje programnivånod där OHS är aktiverat.

Steg 9

Använd Oracle Fusion Middleware Control för att göra några ytterligare ändringar av konfigurationsfilen:

1. Logga in på Oracle Fusion Middleware Control Console (till exempel http://.:/em).
2. Välj Web Tier Target under EBS Domain.
3. Välj Administration > Avancerad konfiguration.
4. Välj ssl.conf fil för redigering.
5. Uppdatera direktiven Listen och VirtualHost _default_: till SSL-porten, till exempel Listen 4443.
6. Uppdatera SSLProtocol och SSLcipherSuite-posten så att den matchar följande:

SSLProtocol TLSv1 TLSv1.1 TLSv1.2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!RC4:+HIGH:+MEDIUM

7. Klicka på Använd .

Följande kommando bör köras (på alla programnivånoder) för att sprida ändringarna som gjorts genom Oracle Fusion Middleware Control Console till kontextfilvariablerna:

perl $AD_TOP/bin/adSyncContext.pl contextfile=$CONTEXT_FILE
Ange användarlösenordet för APPS:
Ange lösenordet för WebLogic AdminServer:

Granska adSyncContext.log för ändringarna som har plockats upp och gjorts i sammanhangsfilen.

Använd Oracle E-Business Suite 12.2 – OAM Context Editor för att ändra de TLS-relaterade variablerna som visas i den här tabellen:

Värdet för s_webport baseras på standardporten före någon TLS-konfiguration och förblir oförändrad när du byter till TLS

Steg 10 – Kör Autoconfig

Autoconfig kan köras genom att använda adautocfg.sh-skriptet i katalogen Application Tier $ADMIN_SCRIPTS_HOME.

Steg 11 – Starta om Application Tier-tjänsterna

Använd adapcctl.sh-skriptet i katalogen $ADMIN_SCRIPTS_HOME för att stoppa och starta om Application Tier Apache-tjänsterna.

Steg 12 – Sprid TLS-ändringar till korrigeringsfilsystem .

Följande steg måste utföras för att synkronisera TLS-inställningen mellan de två filsystemen:

1. Redigera $APPL_TOP_NE/ad/custom/adop_sync.drv.
2. Förutsatt att rsync-kommandot är tillgängligt på UNIX, måste följande direktiv kopieras och klistras in mellan avsnitten och efter det befintliga <#Copy Ends>:

owm &

SQL>select utl_http.request('[address to access]', '[proxy address]', 'file:[full path to wallet directory]', null) from dual;