Generieren Sie mit dem Befehl get_pse die PSE des Servers, die das Public-Key-Schlüsselpaar und ein Publik-Key-Zertifikat enthält. Wenn Sie eine vertrauenswürdige CA verwenden, können Sie auch den Befehl get_pse verwenden, um eine Zertifikatsanforderung zu generieren. Standardmäßig wird alles erzeugt, allerdings können Sie mit den Optionen -noreq oder -onlyreq die Zertifikatsanforderung explizit erzeugen oder auslassen.
Um die Verwaltung zu vereinfachen, empfehlen wir Ihnen, selbstsignierte Zertifikate zu verwenden, die nicht von einer vertrauenswürdigen CA signiert sind.
Wenn Sie eine einzige PSE für alle Serverkomponenten verwenden und wenn Sie diese PSE bereits auf einem anderen Server angelegt haben, dann kopieren Sie diese PSE an die entsprechenden Ablageort, anstatt eine neue anzulegen.
● Die SAP Cryptographic Library ist auf dem Server installiert.
● Die Umgebungsvariable SECUDIR wurde auf den Ablageort der PSE gesetzt.
Erzeugen Sie mit folgender Befehlszeile eine PSE. Legen Sie im Verzeichnis SECUDIR die PSE des Servers an.
sapgenpse get_pse <weitere_Optionen> [-p <PSE-Name>] [-r <cert_req_file_name>] [-x <PIN>] [DN]
Wobei:
Standardoptionen
Option |
Parameter |
Beschreibung |
Zulässige Werte |
Vorschlagswert |
-p |
<PSE-Name> |
Pfad und Dateiname der PSE des Servers. |
Pfadbeschreibung (in Anführungszeichen, falls sie Leerzeichen enthält) |
Keiner |
-r |
<Dateiname> |
Dateiname für die Zertifikatsanforderung |
Pfadbeschreibung (in Anführungszeichen, falls sie Leerzeichen enthält) |
stdout |
-x |
<PIN> |
PIN, die die PSE schützt |
Zeichenkette |
Keiner |
Keine |
DN |
Distinguished Name des Servers Mit dem Distinguished Name wird der SNC-Name des Servers gebildet. |
Zeichenkette (in Anführungszeichen, falls sie Leerzeichen enthält) |
Keiner |
Der Distinguished Name besteht aus folgenden Elementen:
● CN = <Common_Name>
● OU = <Organisationseinheit>
● O = <Organisation>
● C = <Land>
Der Distinguished Name des Anwendungsservers für System ABC, bei dem <SID> als Common Name, Test als Organisationseinheit, MyCompany als Organisation und DE (Deutschland) als Land definiert ist, lautet z. B.:
CN=ABC, OU=Test, O=MyCompany, C=DE
Weitere Optionen
Option |
Parameter |
Beschreibung |
Zulässige Werte |
Vorschlagswert |
-s |
<Schlüssellänge> |
Schlüssellänge |
512, 1024, 2048 |
1024 |
-a |
<Algorithmus> |
Verwendeter Algorithmus |
RSA, DSA |
RSA |
-noreq |
Keiner |
Erzeugt nur ein Schlüsselpaar und eine PSE. Erzeugt keine Zertifikatsanfoderung |
Nicht relevant |
Nicht eingestellt |
-onlyreq |
Keiner |
Erzeugt eine Zertifikatsanforderung für den öffentlichen Schlüssel, der in der durch Parameter -p angegebenen PSE abgelegt wird. |
Nicht relevant |
Nicht eingestellt |
PSE und selbstsigniertes Zertifikat für den Anwendungsserver erzeugen
Mit der folgenden Befehlszeile erzeugen Sie eine PSE für den Anwendungsserver (<SID>= ABC), die ein selbstsigniertes Zertifikat enthält. Eine Zertifikatsanforderung ist nicht erforderlich. Die PSE befindet sich in D:\usr\sap\ABC\DVEBMGS28\sec\ABC.pse. Die PIN, die die PSE schützt, lautet abcpin. Der Distinguished Name des Servers lautet CN=ABC, OU=Test, O=MyCompany, C=DE.
sapgenpse get_pse -p
D:\usr\sap\ABC\DVEBMGS28\sec\ABC.pse
-noreq -x abcpin "CN=ABC, OU=Test, O=MyCompany, C=DE"
Die Server-PSE wird in dem von Ihnen angegebenen Verzeichnis angelegt.
Überprüfen Sie den Inhalt des Verzeichnisses auf Betriebssystemebene, um sicherzustellen, dass die Credentials am richtigen Ort angelegt wurden, bevor Sie den nächsten Schritt durchführen.