Show TOC

HintergrundSSL-Szenario 2: Vertrauensbeziehung für gegenseitige Authentifizierung einrichten Dieses Dokument in der Navigationsstruktur finden

 

Um die Vertrauensbeziehung für gegenseitige Authentifizierung einzurichten, müssen Sie zunächst die serverseitige Authentifizierung wie im SSL-Szenario 1 beschrieben einrichten. Zusätzlich müssen Sie die Vertrauensbeziehung für die Client-Seite einrichten. Gehen Sie dazu wie folgt vor:

  • Sie müssen sicherstellen, dass der Server dem Public-Key-Zertifikat des Clients vertraut. Wie der Server so kann auch der Client entweder ein selbstsigniertes oder ein von einer CA ausgestelltes Zertifikat verwenden. Wenn das Zertifikat des Clients selbstsigniert ist, dann muss der Server auf das Zertifikat des Clients zugreifen können, um es zu überprüfen. Wenn das Zertifikat des Clients von einer CA ausgestellt wurde, dann muss der Server Zugriff auf das Wurzelzertifikat der CA haben. Indem er der CA vertraut, kann der Server die Identität vieler Clients überprüfen, ohne Zugriff auf jedes Client-Zertifikat zu haben. Dies reduziert den Verwaltungsaufwand.

  • Der Server muss die Benutzerkennung ermitteln können, die für die Verbindung verwendet werden soll, z.B. durch Verwendung einer Benutzerzuordnungstabelle.

Nachfolgende Abbildung zeigt ein Beispiel zum Einrichten der gegenseitigen Authentifizierung zwischen einem Web-Browser-Client und dem AS-ABAP-Server, wenn von einer CA signierte Zertifikate verwendet werden. Das CA-Wurzelzertifikat, das dem AS-ABAP-Server dessen Zertifikat ausstellte, wird in die Ablage der vertrauenswürdigen CA-Wurzelzertifikate im Web-Browser importiert. Das CA-Wurzelzertifikat, das dem Web-Browser-Client (oder Benutzer) dessen Zertifikat ausstellte, wird auch in die Zertifikatsliste in der SSL-Server-PSE des AS ABAP importiert.

Die Abbildung wird im Begleittext erläutert.

Vertrauensbeziehung zwischen einem Web-Browser-Client und einem AS-ABAP-Server (gegenseitige Authentifizierung) einrichten

Hinweis Hinweis

Derselbe Prozess gilt für den AS Java, abgesehen davon, dass die Zertifikatsliste auf dem AS Java in der Keystore-Sicht service_ssl im Eintrag ssl-credentials liegt.

Ende des Hinweises

Wenn ein Benutzer auf den AS ABAP oder den AS Java zugreift, muss der Server außerdem in der Lage sein, die Benutzerkennung auf der Grundlage des Distinguished Name, so wie er im Zertifikat enthalten ist, zu ermitteln. Für diese Zuordnung verwendet der AS ABAP die Abbildungstabelle USREXTID und der AS Java verwendet Optionen, die im ClientCertLoginModule gesetzt sind.

Weitere Informationen