ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Как прикрутить сертификаты ADCS .cer к OHS 11g
9 сообщений из 9, страница 1 из 1
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39371186
Настена Н
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Настена Н
Гость
Имеем работаюший ОНS 11g из комплекта Oracle Fusion Middleware 11g Web Tier Utilites
На нем работает apex приложение.
Хотим работать в https

1. В нашем Microsoft Active Directory Certificate Services генерим сертификат для этого веб-сервера. Экспортируем файл .cer

2. В /d01/app/oracle/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/ смотрим файл ssl.conf

# SSL Protocol Support:
# List the supported protocols.
SSLProtocol nzos_Version_1_0 nzos_Version_3_0

#Path to the wallet
SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/default"

В этот каталог кладем полученный файл .cer
Перегружаем OHS. Не работает ругается на сертификат. Что не так делаю?
...
Рейтинг: 0 / 0
20.12.2016, 16:24
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39371187
мимо шел
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
мимо шел
Гость
Нужно создать Oracle Wallet с этим сертификатом (или импортировать сертификат в существующий wallet).
В SSLWallet указать путь к этому wallet.
...
Рейтинг: 0 / 0
20.12.2016, 16:28
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39371253
Настена Н
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Настена Н
Гость
Спасибо.
Там на сервере установлен только ОНS 11g из комплекта Oracle Fusion Middleware 11g Web Tier Utilites

Из какого url можно запустить этот Oracle Wallet
или его надо дополнительно доставить?
...
Рейтинг: 0 / 0
20.12.2016, 17:38
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39376705
Мутаген
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Мутаген
Гость
orapki - стандартая утилита из поставки OHS: https://docs.oracle.com/cd/E17904_01/core.1111/e10105/walletmgr.htm#i6385
Запускается на сервере из shell как $MWHOME/oracle_common/bin/orapki

Но вот импортировать ключ в wallet будет непросто. Правильный способ состоит из генерации ключа в ней, экспорта CSR, получение от CA сертификата и добавление в wallet сначала сертификата CA, потом сертификата сервера. Для проверки можно запустить
Код: plaintext
orapki wallet display -wallet /Path/to/the/wallet

У меня например так получилось:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
$ orapki wallet display -wallet /u01/Middleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/keystores/default
Oracle PKI Tool : Version 11.1.1.9.0
Copyright (c) 2004, 2015, Oracle and/or its affiliates. All rights reserved.

Requested Certificates:
User Certificates:
Subject:        CN=ohs1.example.com
Trusted Certificates:
Subject:        CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
...
Рейтинг: 0 / 0
28.12.2016, 11:48
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39377156
Настена Н
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Настена Н
Гость
Правильный способ состоит из генерации ключа в ней, экспорта CSR, получение от CA сертификата и добавление в wallet сначала сертификата CA, потом сертификата сервера.

Спасибо. Можно эти шаги чуть подробнее описать как вы делали?
...
Рейтинг: 0 / 0
28.12.2016, 18:26
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39377166
Настена Н
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Настена Н
Гость
добавление в wallet сначала сертификата CA

особенно этот пункт. Какой именно сертификат брать?
...
Рейтинг: 0 / 0
28.12.2016, 18:53
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39377785
Мутаген
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Мутаген
Гость
У CA есть его сертификат, который удостоверяет выдываемые сертификаты. Его и надо залить в wallet.

Я попробовал, ситуация оказывается сложней. orapki от 11g не может делать запросы на современных алгоритмах: https://blogs.oracle.com/ecmarch/entry/ssl_issues_in_chrome

Поэтому надо всё проделать с помощью java keytool, а потом его конвертировать в Oracle wallet для OHS.

1) создать новый keystore (JKS) с новым ключём и всей атрибутикой:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -genkey -alias server -keyalg RSA -keysize 2048 -sigalg SHA256withRSA \
-dname "CN=<hostname>.<domainname>" -keypass welcome -storepass welcome -keystore keystore.jks

в hostname domainname подставить имя сервера OHS

2) выгрузить запрос на сертификат:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -certreq -v -alias server -file server.csr -sigalg SHA256withRSA \
-keypass welcome -storepass welcome -keystore keystore.jks

3) отдать файл server.csr в центр сертификации, после подписи будет новый файл server.crt и их сертификат центра сертификации.

4) залить сертификат центра (вместо <ADCS-cert.pem> подставить свой файл):
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -import -v -noprompt -trustcacerts -alias ADCS -file <ADCS-cert.pem> \
-storepass welcome -keystore keystore.jks

5) Залить сертификат сервера:
Код: plaintext
1.
$ORACLE_HOME/jdk/bin/keytool -import -v -alias server -file <server.crt> \
-storepass welcome -keystore keystore.jks

6) создать новый wallet и конвертировать в него JKS:

Код: plaintext
orapki wallet create -wallet SCRATCH -auto_login_only
Код: plaintext
orapki wallet jks_to_pkcs12 -wallet SCRATCH -keystore keystore.jks -jkspwd welcome

7) скопировать wallet в каталог к OHS
Код: plaintext
cp -pr SCRATCH/* /.../Oracle_WT1/instances/instance1/config/OHS/ohs1/keystores/default

перезапустить OHS и он должен работать с новым сертификатом. После этого файлы keystore.jks, server.crt/server.csr и тп не нужны и их можно стереть
...
Рейтинг: 0 / 0
29.12.2016, 15:56
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39378331
Настена Н
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Настена Н
Гость
Спасибо.
$ORACLE_HOME/jdk/bin/keytool отдельно ставили? его с ОНS в одну Home можно доставить?

С Oracle HTTP Server 12cR2 уже по просто схеме можно?)) Реально понимает SHA256?
...
Рейтинг: 0 / 0
30.12.2016, 14:34
| Ответить | Цитировать | Написать  
Как прикрутить сертификаты ADCS .cer к OHS 11g
    #39378383
Мутаген
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Мутаген
Гость
ORACLE_HOME это хоум для middleware, он с собой jdk ставит и в ней keytool. Ничего дополнительного не требуется.

12cR2 не пробовал
...
Рейтинг: 0 / 0
30.12.2016, 16:27
| Ответить | Цитировать | Написать  
9 сообщений из 9, страница 1 из 1
Форумы / Oracle [игнор отключен] [закрыт для гостей] / Как прикрутить сертификаты ADCS .cer к OHS 11g
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=52&msg=39377156&tid=1886720]:
 0ms
get settings:
 10ms
get forum list:
 18ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 205ms
get topic data:
 11ms
get forum data:
 3ms
get page messages:
 57ms
get tp. blocked users:
 2ms
others: 236ms
total:  548ms
созд. / загр.: 548ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]