Show TOC Anfang des Inhaltsbereichs

Vorgehensweisen PSE für den Server mit SAPGENPSE anlegen   Dokument im Navigationsbaum lokalisieren

Verwendung

Generieren Sie mit dem Befehl get_pse die PSE des Servers, die das Public-Key-Schlüsselpaar und ein Publik-Key-Zertifikat enthält. Wenn Sie eine vertrauenswürdige CA verwenden, können Sie auch den Befehl get_pse verwenden, um eine Zertifikatsanforderung zu generieren. Standardmäßig wird alles erzeugt, allerdings können Sie mit den Optionen -noreq oder -onlyreq die Zertifikatsanforderung explizit erzeugen oder auslassen.

Empfehlung

Um die Verwaltung zu vereinfachen, empfehlen wir Ihnen, selbstsignierte Zertifikate zu verwenden, die nicht von einer vertrauenswürdigen CA signiert sind.

Hinweis

Wenn Sie eine einzige PSE für alle Serverkomponenten verwenden und wenn Sie diese PSE bereits auf einem anderen Server angelegt haben, dann kopieren Sie diese PSE an die entsprechenden Ablageort, anstatt eine neue anzulegen.

Voraussetzungen

      Die SAP Cryptographic Library ist auf dem Server installiert.

      Die Umgebungsvariable SECUDIR wurde auf den Ablageort der PSE gesetzt.

Vorgehensweise

Erzeugen Sie mit folgender Befehlszeile eine PSE. Legen Sie im Verzeichnis SECUDIR die PSE des Servers an.

Syntax

sapgenpse get_pse <weitere_Optionen> [-p <PSE-Name>] [-r <cert_req_file_name>] [-x <PIN>] [DN]

Wobei:

Standardoptionen

Option

Parameter

Beschreibung

Zulässige Werte

Vorschlags­wert

-p

<PSE-Name>

Pfad und Dateiname der PSE des Servers.

Pfadbeschreibung (in Anführungszeichen, falls sie Leerzeichen enthält)

Keiner

-r

<Dateiname>

Dateiname für die Zertifikatsanforderung

Pfadbeschreibung (in Anführungszeichen, falls sie Leerzeichen enthält)

stdout

-x

<PIN>

PIN, die die PSE schützt

Zeichenkette

Keiner

Keine

DN

Distinguished Name des Servers

Mit dem Distinguished Name wird der SNC-Name des Servers gebildet.

Zeichenkette (in Anführungszeichen, falls sie Leerzeichen enthält)

Keiner

Hinweis

Der Distinguished Name besteht aus folgenden Elementen:

        CN = <Common_Name>

        OU = <Organisationseinheit>

        O = <Organisation>

        C = <Land>

Beispiel

Der Distinguished Name des Anwendungsservers für System ABC, bei dem <SID> als Common Name, Test als Organisationseinheit, MyCompany als Organisation und DE (Deutschland) als Land definiert ist, lautet z. B.:

CN=ABC, OU=Test, O=MyCompany, C=DE

Weitere Optionen

Option

Parameter

Beschreibung

Zulässige Werte

Vorschlags­wert

-s

<Schlüssellänge>

Schlüssellänge

512, 1024, 2048

1024

-a

<Algorithmus>

Verwendeter Algorithmus

RSA, DSA

RSA

-noreq

Keiner

Erzeugt nur ein Schlüsselpaar und eine PSE. Erzeugt keine Zertifikatsanfoderung

Nicht relevant

Nicht eingestellt

-onlyreq

Keiner

Erzeugt eine Zertifikatsanforderung für den öffentlichen Schlüssel, der in der durch Parameter -p angegebenen PSE abgelegt wird.

Nicht relevant

Nicht eingestellt

Beispiel

PSE und selbstsigniertes Zertifikat für den Anwendungsserver erzeugen

Mit der folgenden Befehlszeile erzeugen Sie eine PSE für den Anwendungsserver (<SID>= ABC), die ein selbstsigniertes Zertifikat enthält. Eine Zertifikatsanforderung ist nicht erforderlich. Die PSE befindet sich in D:\usr\sap\ABC\DVEBMGS28\sec\ABC.pse. Die PIN, die die PSE schützt, lautet abcpin. Der Distinguished Name des Servers lautet CN=ABC, OU=Test, O=MyCompany, C=DE.

sapgenpse get_pse -p D:\usr\sap\ABC\DVEBMGS28\sec\ABC.pse
-noreq -x abcpin "CN=ABC, OU=Test, O=MyCompany, C=DE"

Ergebnis

Die Server-PSE wird in dem von Ihnen angegebenen Verzeichnis angelegt.

Hinweis

Überprüfen Sie den Inhalt des Verzeichnisses auf Betriebssystemebene, um sicherzustellen, dass die Credentials am richtigen Ort angelegt wurden, bevor Sie den nächsten Schritt durchführen.

 

 

 

 

Ende des Inhaltsbereichs