Benutzer-Werkzeuge

Webseiten-Werkzeuge


forms:oracle_reports_12_ssl

Oracle Reports Server 12g 12.2.1.3.0 mit SSL über Port 443 aufrufen

Oracle weblogic 12.2.1.3.0 Oracle Report Server / Windows 2016

Aufgaben: Der Aufruf von Oracle Reports Berichten soll mit SSL geschützt werden und per HTTPS ohne Port Angabe aufrufbar sein.

Ablauf:

  • Password für die Keystore ausdenken und sauber dokumentiert ablegen
  • Password für die PemPhrase des Private Key ausdenken und sauber dokumentiert ablegen
  • Keystore anlegen
  • Zertifikats Request über Weblogic anlegen
  • Konfiguration in WebLogic für SSL anpassen
  • Nodemanager konfigurieren
  • Server neu starten und testen
Die Passwörter sauber dokumentieren! Diese Art von Fehlern in den Logs zu finden ist sehr aufwendig!

In meiner Umgebung traten diverse Probleme in deren Folgen mit der folgenden Lösung ein Erfolg erzielt wurde.

Vermutlich kann das aber auch viel einfacher umgesetzt werden.

In ersten Schritte wurde versucht ein WildCard Zertifikat zu verwenden, allerdings ist mir nicht gelungen den Private Key von diesem Zertifikat in den Keystore zu importieren

In Folge daher einen Zertifikatsrequest über die Oberfläche erstellt und bearbeitet und dann diese erzeugen Keystore aus WebLogic exportiert, diesen dann wiederum in die Konfiguration eingebunden.

Theoretisch müsste dieser Schritt überflüssig sein, allerdings ist mir nicht gelungen direkt den erzeugten Keystore aus der Weblogic Oberfläche anzusprechen.


Keystore anlegen

Speicherort definieren

Verzeichniss für den Keystore anlegen:

mkdir E:\oracle\keystore

Keystore über die Oberfläche erzeugen

An der Admin Oberfläche anmelden.

Über „Weblogic Domain“ / „Securtiy“ / „Keysore“ die Key Store Seite öffnen.

Über den Button „+Create Keystore“ einen neue Keystore anlegen:

 Oracle Report Server Keystore

CA Request erzeugen

  • CA Request anlegen (darauf achten sich das Private Key Password gut zu merken!)
  • Als Request exportieren
  • In der CA diesen signieren und wieder importierten.

Keystore exportieren

Komando Zeile aufrufen:

E:\oracle\fmw\oracle_common\common\bin> .\wlst.cmd
 
wls:/offline>
wls:/offline> connect('weblogic','xxxxxxx','localhost:7001')
Connecting to t3://localhost:7001 with userid weblogic ...
 
 
wls:/ReportPisa/serverConfig/> svc = getOpssService(name='KeyStoreService')
 
 
wls:/ReportPisa/domainRuntime/> svc.exportKeyStore(appStripe='system', name='reportServer', password='xxxxxxxx',aliases='repServ.gpi.local', keypasswords='xxxxxx', type='JKS',filepath=E:\oracle\keystore\identity.jks')
 
 
 
Keystore exported. Check the logs if any entry was skipped.
 
 
 
wls:/ReportPisa/domainRuntime/> exit()

Inhalt anzeigen lassen:

 E:\oracle\fmw\oracle_common\common\bin> keytool.exe  -list  -keystore E:\oracle\keystore\identity.jks -storepass xxxxxxxxxx
 
 
Keystore type: JKS
Keystore provider: SUN
 
Your keystore contains 1 entry
 
repServ.gpi.local, 06.10.2020, PrivateKeyEntry,
Certificate fingerprint (SHA1): xx:xx: .... xx

Trust Ca hinterlegen

PS E:\oracle\fmw\oracle_common\common\bin> keytool.exe -import -v -trustcacerts -alias  repServer.gpi.local -file "E:\oracle\keystore\gpi-rootCA.der" -keystore  E:\oracle\keystore\trust.jks -storepass xxxxxx -noprompt
 
Certificate was added to keystore
[Storing E:\oracle\keystore\trust.jks]

In einem Weblogic Cluster die erzeugten Dateien auf allen Knoten verteilen.


Weblogic Managed Server konfigurieren

Für jeden definierten Server in der Domain.

Keystore hinterlegen

In der Admin Oberfläche den WLS_REPORTS Server ausswählen.

„Home“ / „Administration“ / „Keystores“ einen eigenen Key Store definieren.

  • Keystore Type auf „Custom Identity and Custom Trust“ setzen
  • Custom Identity Keystore auf Pfad „E:\oracle\keystore\identity.jks“
  • Custom Identity Keystore Type auf „JKS“
  • Password setzen und bestätigen

Trust hinterlegen:

  • Custom Trust Keystore auf Pfad „E:\oracle\keystore\trust.jks“
  • Custom Trust Keystore Type auf „JKS“

SSL Konfigurieren

  • Identity and Trust Locations Keystores
  • Private Key Alias repServer.gpi.local
  • Private Key Passphrase Password hinterlegen
  • Certificate Location from Custom Identity Keystore

General Settings setzen

  • SSL Listen Port Enabled anwählen
  • SSL Listen Port 443

Neu Starten

Managed Server neu starten

Testen über http://repServer.gpi.local/reports/rwservlet/showenv


Weblogic Node Manager konfigurieren

Datei „E:\oracle\fmw\user_projects\domains\ReportGPI\nodemanager\nodemanager.properties“ edititeren

KeyStores=CustomIdentityAndCustomTrust
CustomIdentityKeystoreType=jks
CustomIdentityKeyStoreFileName=E\:\\oracle\\keystore\\identity.jks
CustomIdentityKeyStorePassPhrase=xxxxxxxxxx
CustomIdentityPrivateKeyPassPhrase=xxxxxxx
CustomIdentityAlias=repServer.gpi.local
CustomTrustKeystoreType=jks
CustomTrustKeyStoreFileName=E\:\\oracle\\keystore\\trust.jks
CustomTrustKeyStorePassPhrase=

Neu starten


Debuggen bei Problemen

Parameter um das Logging für SSL zu aktiveren:

-Dweblogic.debug.DebugSecuritySSL=true -Dweblogic.debug.DebugSSL=true -Dweblogic.StdoutDebugEnabled=true -Dweblogic.log.StdoutSeverityLevel=Debug -Dweblogic.log.LogSeverity=Debug


Zertifikat beim TomCat Proxy hinterlegen

In dieser Umgebung wird der Report Aufruf über eine Hauseigene Applikation „getunnelt“, da der Aufruf nun in SSL erfolgt muss in Tomcat auch das Root CA Zertifikat hinterlegt werden.

CA Zertifikat hinterlegen auf einem Keystore mit keinem hinterlegten Passwort „Dummy -storepass „changeit“ übergeben!“ mit:

keytool -import -noprompt -trustcacerts -alias repServer.gpi.local -file ""E:\oracle\keystore\gpi-rootCA.der" -keystore "E:\server\jdk1.8.0_161\jre\lib\security\cacerts" -storepass "changeit"


Quellen

Cookies helfen bei der Bereitstellung von Inhalten. Diese Website verwendet Cookies. Mit der Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Computer gespeichert werden. Außerdem bestätigen Sie, dass Sie unsere Datenschutzerklärung gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website. Weitere Information
"Autor: Gunther Pipperr"
forms/oracle_reports_12_ssl.txt · Zuletzt geändert: 2020/10/06 16:51 von gpipperr