orapki

爲非 TLS 啓用的 12.2 版環境生成和部署新錢包
以下步驟將生成一個帶有可接受的自簽名證書的新錢包,並將其部署到默認錢包位置。這將允許 OHS 和 OPMN 啓動。

本節中的說明必須在您的每個應用層節點上執行。對於使用具有共享文件系統的多節點的客戶,$FMW_HOME/webtier/instances除了步驟 4 中您只需要創建一次錢包之外,對每個實例重複所有步驟。您仍然需要將錢包複製到每個應用程序層。

根據您使用的是 UNIX 還是 Windows,請按照適用小節中的說明進行操作:

2.1 UNIX 使用
說明 2.2 Windows 使用說明

2.1 UNIX 使用說明
注意:以下命令假設用戶的 shell 是 Bash。
以擁有應用程序層安裝的用戶身份登錄(通常爲applmgr或oracle)。

源運行文件系統環境和$FMW_HOME/SetWebtier.env文件。
$ source <EBS base install directory>/EBSapps.env run
$ source $FMW_HOME/SetWebtier.env
注意:對於新的 Oracle E-Business Suite 12.2 版安裝,必須在運行版文件系統上執行所有步驟,該文件系統通過運行以下命令獲得:
$ source <EBS base install directory>/fs1/EBSapps/appl/APPS<CONTEXT_NAME>.env

爲正確的orapki.
$ alias orapki=$FMW_HOME/oracle_common/bin/orapki
使用可接受的自簽名證書創建一個新錢包,$HOME/ss.例如:
$ mkdir ~/ss
$ cd ~/ss
$ orapki wallet create -wallet ./ -auto_login_only
$ orapki wallet add -wallet . -dn "CN=FMWSmallCircleOfTrust" -asym_alg RSA -keysize 2048 -sign_alg sha256 -self_signed -validity 3652 -auto_login_only
$ orapki wallet display -wallet .
最後一個命令 ( orapki wallet display -wallet .) 允許您驗證錢包是否已正確創建。

找到這個環境的 instanceName 並保存在一個環境變量中以備後用。
$ tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_ohs_instance"/ {print $(NF-1)}'
EBS_web_OHS1
$ iName=$(tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_ohs_instance"/ {print $(NF-1)}' )
轉到實例目錄。
$ cd $FMW_HOME/webtier/instances/$iName
查找此實例使用的默認錢包。
$ find . -name cwallet.sso | fgrep -v /webgate/
./config/OPMN/opmn/wallet/cwallet.sso
./config/OHS/EBS_web/proxy-wallet/cwallet.sso
./config/OHS/EBS_web/keystores/default/cwallet.sso
驗證每個錢包是否僅包含自簽名證書。
$ find . -name cwallet.sso | fgrep -v /webgate/ | while read w ; do echo -e "\n$w"; orapki wallet display -nologo -wallet $w ; done
如果是默認錢包,每個錢包都應該列出一個“用戶證書”和一個相同的“可信證書”,如下例所示:
./config/OPMN/opmn/wallet/cwallet.sso
Requested Certificates:
User Certificates:
Subject: CN=Self-Signed Certificate for EBS_web_OHS1\20,OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US
Trusted Certificates:
Subject: CN=Self-Signed Certificate for EBS_web_OHS1\20,OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US

注意:如果錢包不是默認錢包,請在繼續之前製作該錢包的備份副本。

將新的 SHA-256 簽名錢包複製到所有默認錢包位置。
$ find . -name cwallet.sso | fgrep -v /webgate/ | while read w ; do echo $w; cp -p ~/ss/cwallet.sso $w ; done
您現在已將新的自簽名錢包複製到運行文件系統中的默認位置。這避免了修改 OPMN 和 OHS 配置文件以指向不同的錢包(或錢包目錄)。

通過修改adop_sync.drv位於下$APPL_TOP_NE/ad/custom以包括以下內容,準備對補丁文件系統進行更改:

#Oracle HTTP Server Wallet - cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso
#OPMN Wallet - cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/proxy-wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/proxy-wallet/cwallet.sso
注意:您不需要在新的 Oracle E-Business Suite 12.2 版新安裝上執行此步驟。
當您在在線補丁的準備階段 (adop phase=prepare) 期間執行第 3 節中的步驟時,更改將傳播到補丁文件系統,並將在成功切換後生效 (adop phase=cutover)。

此過程完成後,請勿刪除或更改更新的adop_sync.drv文件。

要使用 Oracle 融合中間件控制企業管理器 (EM) 控制檯http://<app01>:7001/em來管理 OHS,您可能需要向融合中間件控制重新註冊 OHS 及其新證書。這必須在運行和補丁文件系統上完成。


如果您確定 OHS 在 Oracle 融合中間件 EM 控制檯中報告爲關閉,請執行以下步驟以重新註冊 OHS:
從 CONTEXT_FILE 獲取 WLS Admin 的主機、端口和用戶名變量:
$ aHost=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_admin_host"/ {print $(NF-1)}' )
$ aPort=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_adminport"/ {print $(NF-1)}' )
$ aUser=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_admin_user"/ {print $(NF-1)}' )
使用以下命令重新註冊 OHS:
$ cd $FMW_HOME/webtier/instances/$iName/bin
$ ./opmnctl unregisterinstance -adminHost $aHost -adminPort $aPort -adminUsername $aUser -instanceName $iName
$ ./opmnctl registerinstance -adminHost $aHost -adminPort $aPort -adminUsername $aUser
重新註冊後,註銷然後再次登錄到控制檯。OHS 將顯示爲正在運行。

 

 

繼續第 4 部分:應用 OSS 和 OPMN 補丁。

  

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章