Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Как прикрутить сертификаты ADCS .cer к OHS 11g / 9 сообщений из 9, страница 1 из 1
20.12.2016, 16:24
    #39371186
Настена Н
Настена Н
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
Имеем работаюший ОНS 11g из комплекта Oracle Fusion Middleware 11g Web Tier Utilites
На нем работает apex приложение.
Хотим работать в https

1. В нашем Microsoft Active Directory Certificate Services генерим сертификат для этого веб-сервера. Экспортируем файл .cer

2. В /d01/app/oracle/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/ смотрим файл ssl.conf

# SSL Protocol Support:
# List the supported protocols.
SSLProtocol nzos_Version_1_0 nzos_Version_3_0

#Path to the wallet
SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/default"

В этот каталог кладем полученный файл .cer
Перегружаем OHS. Не работает ругается на сертификат. Что не так делаю?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2016, 16:28
    #39371187
мимо шел
мимо шел
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
Нужно создать Oracle Wallet с этим сертификатом (или импортировать сертификат в существующий wallet).
В SSLWallet указать путь к этому wallet.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
20.12.2016, 17:38
    #39371253
Настена Н
Настена Н
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
Спасибо.
Там на сервере установлен только ОНS 11g из комплекта Oracle Fusion Middleware 11g Web Tier Utilites

Из какого url можно запустить этот Oracle Wallet
или его надо дополнительно доставить?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
28.12.2016, 11:48
    #39376705
Мутаген
Мутаген
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
orapki - стандартая утилита из поставки OHS: https://docs.oracle.com/cd/E17904_01/core.1111/e10105/walletmgr.htm#i6385
Запускается на сервере из shell как $MWHOME/oracle_common/bin/orapki

Но вот импортировать ключ в wallet будет непросто. Правильный способ состоит из генерации ключа в ней, экспорта CSR, получение от CA сертификата и добавление в wallet сначала сертификата CA, потом сертификата сервера. Для проверки можно запустить
Код: plaintext
orapki wallet display -wallet /Path/to/the/wallet

У меня например так получилось:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
$ orapki wallet display -wallet /u01/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/keystores/default
Oracle PKI Tool : Version 11.1.1.9.0
Copyright (c) 2004, 2015, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:        CN=ohs1.example.com
Trusted Certificates:
Subject:        CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
28.12.2016, 18:26
    #39377156
Настена Н
Настена Н
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
Правильный способ состоит из генерации ключа в ней, экспорта CSR, получение от CA сертификата и добавление в wallet сначала сертификата CA, потом сертификата сервера.

Спасибо. Можно эти шаги чуть подробнее описать как вы делали?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
28.12.2016, 18:53
    #39377166
Настена Н
Настена Н
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
добавление в wallet сначала сертификата CA

особенно этот пункт. Какой именно сертификат брать?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
29.12.2016, 15:56
    #39377785
Мутаген
Мутаген
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
У CA есть его сертификат, который удостоверяет выдываемые сертификаты. Его и надо залить в wallet.

Я попробовал, ситуация оказывается сложней. orapki от 11g не может делать запросы на современных алгоритмах: https://blogs.oracle.com/ecmarch/entry/ssl_issues_in_chrome

Поэтому надо всё проделать с помощью java keytool, а потом его конвертировать в Oracle wallet для OHS.

1) создать новый keystore (JKS) с новым ключём и всей атрибутикой:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -genkey -alias server -keyalg RSA -keysize 2048 -sigalg SHA256withRSA \
-dname "CN=<hostname>.<domainname>" -keypass welcome -storepass welcome -keystore keystore.jks

в hostname domainname подставить имя сервера OHS

2) выгрузить запрос на сертификат:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -certreq -v -alias server -file server.csr -sigalg SHA256withRSA \
-keypass welcome -storepass welcome -keystore keystore.jks

3) отдать файл server.csr в центр сертификации, после подписи будет новый файл server.crt и их сертификат центра сертификации.

4) залить сертификат центра (вместо <ADCS-cert.pem> подставить свой файл):
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -import -v -noprompt -trustcacerts -alias ADCS -file <ADCS-cert.pem> \
-storepass welcome -keystore keystore.jks

5) Залить сертификат сервера:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -import -v -alias server -file <server.crt> \
-storepass welcome -keystore keystore.jks

6) создать новый wallet и конвертировать в него JKS:

Код: plaintext
orapki wallet create -wallet SCRATCH -auto_login_only
Код: plaintext
orapki wallet jks_to_pkcs12 -wallet SCRATCH -keystore keystore.jks -jkspwd welcome

7) скопировать wallet в каталог к OHS
Код: plaintext
cp -pr SCRATCH/* /.../Oracle_WT1/instances/instance1/config/OHS/ohs1/keystores/default

перезапустить OHS и он должен работать с новым сертификатом. После этого файлы keystore.jks, server.crt/server.csr и тп не нужны и их можно стереть
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2016, 14:34
    #39378331
Настена Н
Настена Н
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
Спасибо.
$ORACLE_HOME/jdk/bin/keytool отдельно ставили? его с ОНS в одну Home можно доставить?

С Oracle HTTP Server 12cR2 уже по просто схеме можно?)) Реально понимает SHA256?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2016, 16:27
    #39378383
Мутаген
Мутаген
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Как прикрутить сертификаты ADCS .cer к OHS 11g
ORACLE_HOME это хоум для middleware, он с собой jdk ставит и в ней keytool. Ничего дополнительного не требуется.

12cR2 не пробовал
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Как прикрутить сертификаты ADCS .cer к OHS 11g / 9 сообщений из 9, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 460ms
Закрыть
start [/forum/topic.php?fid=52&mobile=1&tid=1886720]:
 0ms
get settings:
 8ms
get forum list:
 17ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 172ms
get topic data:
 10ms
get forum data:
 7ms
get page messages:
 38ms
get tp. blocked users:
 1ms
others: 203ms
total:  460ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]