orapki

为非 TLS 启用的 12.2 版环境生成和部署新钱包
以下步骤将生成一个带有可接受的自签名证书的新钱包，并将其部署到默认钱包位置。这将允许 OHS 和 OPMN 启动。

本节中的说明必须在您的每个应用层节点上执行。对于使用具有共享文件系统的多节点的客户，$FMW_HOME/webtier/instances除了步骤 4 中您只需要创建一次钱包之外，对每个实例重复所有步骤。您仍然需要将钱包复制到每个应用程序层。

根据您使用的是 UNIX 还是 Windows，请按照适用小节中的说明进行操作：

2.1 UNIX 使用
说明 2.2 Windows 使用说明

2.1 UNIX 使用说明
注意：以下命令假设用户的 shell 是 Bash。
以拥有应用程序层安装的用户身份登录（通常为applmgr或oracle）。

源运行文件系统环境和$FMW_HOME/SetWebtier.env文件。
$ source <EBS base install directory>/EBSapps.env run
$ source $FMW_HOME/SetWebtier.env
注意：对于新的 Oracle E-Business Suite 12.2 版安装，必须在运行版文件系统上执行所有步骤，该文件系统通过运行以下命令获得：
$ source <EBS base install directory>/fs1/EBSapps/appl/APPS<CONTEXT_NAME>.env

为正确的orapki.
$ alias orapki=$FMW_HOME/oracle_common/bin/orapki
使用可接受的自签名证书创建一个新钱包，$HOME/ss.例如：
$ mkdir ~/ss
$ cd ~/ss
$ orapki wallet create -wallet ./ -auto_login_only
$ orapki wallet add -wallet . -dn "CN=FMWSmallCircleOfTrust" -asym_alg RSA -keysize 2048 -sign_alg sha256 -self_signed -validity 3652 -auto_login_only
$ orapki wallet display -wallet .
最后一个命令 ( orapki wallet display -wallet .) 允许您验证钱包是否已正确创建。

找到这个环境的 instanceName 并保存在一个环境变量中以备后用。
$ tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_ohs_instance"/ {print $(NF-1)}'
EBS_web_OHS1
$ iName=$(tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_ohs_instance"/ {print $(NF-1)}' )
转到实例目录。
$ cd $FMW_HOME/webtier/instances/$iName
查找此实例使用的默认钱包。
$ find . -name cwallet.sso | fgrep -v /webgate/
./config/OPMN/opmn/wallet/cwallet.sso
./config/OHS/EBS_web/proxy-wallet/cwallet.sso
./config/OHS/EBS_web/keystores/default/cwallet.sso
验证每个钱包是否仅包含自签名证书。
$ find . -name cwallet.sso | fgrep -v /webgate/ | while read w ; do echo -e "\n$w"; orapki wallet display -nologo -wallet $w ; done
如果是默认钱包，每个钱包都应该列出一个“用户证书”和一个相同的“可信证书”，如下例所示：
./config/OPMN/opmn/wallet/cwallet.sso
Requested Certificates:
User Certificates:
Subject: CN=Self-Signed Certificate for EBS_web_OHS1\20,OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US
Trusted Certificates:
Subject: CN=Self-Signed Certificate for EBS_web_OHS1\20,OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US

注意：如果钱包不是默认钱包，请在继续之前制作该钱包的备份副本。

将新的 SHA-256 签名钱包复制到所有默认钱包位置。
$ find . -name cwallet.sso | fgrep -v /webgate/ | while read w ; do echo $w; cp -p ~/ss/cwallet.sso $w ; done
您现在已将新的自签名钱包复制到运行文件系统中的默认位置。这避免了修改 OPMN 和 OHS 配置文件以指向不同的钱包（或钱包目录）。

通过修改adop_sync.drv位于下$APPL_TOP_NE/ad/custom以包括以下内容，准备对补丁文件系统进行更改：

#Oracle HTTP Server Wallet - cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/keystores/default/cwallet.sso
#OPMN Wallet - cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OPMN/opmn/wallet/cwallet.sso
rsync -zr %s_current_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/proxy-wallet/cwallet.sso %s_other_base%/FMW_Home/webtier/instances/%s_ohs_instance%/config/OHS/%s_ohs_component%/proxy-wallet/cwallet.sso
注意：您不需要在新的 Oracle E-Business Suite 12.2 版新安装上执行此步骤。
当您在在线补丁的准备阶段 (adop phase=prepare) 期间执行第 3 节中的步骤时，更改将传播到补丁文件系统，并将在成功切换后生效 (adop phase=cutover)。

此过程完成后，请勿删除或更改更新的adop_sync.drv文件。

要使用 Oracle 融合中间件控制企业管理器 (EM) 控制台http://<app01>:7001/em来管理 OHS，您可能需要向融合中间件控制重新注册 OHS 及其新证书。这必须在运行和补丁文件系统上完成。


如果您确定 OHS 在 Oracle 融合中间件 EM 控制台中报告为关闭，请执行以下步骤以重新注册 OHS：
从 CONTEXT_FILE 获取 WLS Admin 的主机、端口和用户名变量：
$ aHost=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_admin_host"/ {print $(NF-1)}' )
$ aPort=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_adminport"/ {print $(NF-1)}' )
$ aUser=$( tr < $CONTEXT_FILE '<>' '  ' | awk '/"s_wls_admin_user"/ {print $(NF-1)}' )
使用以下命令重新注册 OHS：
$ cd $FMW_HOME/webtier/instances/$iName/bin
$ ./opmnctl unregisterinstance -adminHost $aHost -adminPort $aPort -adminUsername $aUser -instanceName $iName
$ ./opmnctl registerinstance -adminHost $aHost -adminPort $aPort -adminUsername $aUser
重新注册后，注销然后再次登录到控制台。OHS 将显示为正在运行。

 

 

继续第 4 部分：应用 OSS 和 OPMN 补丁。