Schlüsselablage und Pflege 
Je nach Serverart (AS ABAP oder AS Java) und verwendetem Sicherheitsprodukt werden die für die Sicherheitsfunktionen zu verwendenden Schlüssel unterschiedlich abgelegt. Auch das Werkzeug für die Schlüsselpflege hängt von diesen Faktoren ab. Siehe das Beispiel und die Tabelle unten.
Beispiel
Auf dem AS ABAP wird bei Verwendung der SAP Cryptographic Library für SSL oder SNC jedes Schlüsselpaar in einer Datei, einer Persönlichen Sicherheitsumgebung (Personal Security Environment, PSE) abgelegt. Um die PSEs zu pflegen, verwenden Sie den Trust-Manager (Transaktion STRUST).
Für SSL auf dem AS Java werden die Schlüsselpaare in Keystore-Einträgen in Keystore-Sichten abgelegt. Um die Schlüssel zu pflegen, verwenden Sie den Keystore-Service.
Für SSL auf dem SAP Web Dispatcher werden die Schlüssel auch in PSEs abgelegt. Sie können die Schlüssel entweder mit dem Trust-Manager auf dem AS ABAP pflegen und die PSEs exportieren, oder Sie verwenden das Befehlszeilenwerkzeug sapgenpse.
Bei SNC-Partnerprodukten hängen Ablageort und Pflegewerkzeuge vom verwendeten Produkt ab.
Siehe Tabelle unten.
Serverkomponente |
Sicherheitsmechanismus |
Sicherheitsprodukt |
Schlüsselablageort |
Pflegewerkzeug |
|---|---|---|---|---|
AS ABAP |
SSL |
SAP Cryptographic Library |
Als Serverkomponente: SSL-Server-PSE Als Client-Komponente: SSL-Client-PSE |
Trust-Manager |
SNC |
SAP Cryptographic Library |
SNC-PSE |
Trust-Manager |
|
SNC |
Partnerprodukt |
produktspezifisch |
produktspezifisch |
|
AS Java |
SSL |
SAP Java Cryptographic Toolkit |
Als Serverkomponente: Keystore-Sicht service_ssl, Eintrag ssl-credentials Als Client-Komponente: verbindungsspezifische Sicht und verbindungsspezifischer Eintrag |
Keystore-Service |
SNC |
SAP Cryptographic Library |
SNC-PSE |
sapgenpse |
|
SAP Web Dispatcher |
SSL |
SAP Cryptographic Library |
Als Serverkomponente: SSL-Server-PSE Als Client-Komponente: SSL-Client-PSE |
sapgenpse (oder Trust-Manager) |
Die in der entsprechenden PSE oder Keystore-Sicht abgelegten Informationen umfassen:
das Public-Key-Schlüsselpaar des Servers, das für die verschiedenen Sicherheitsfunktionen (Signieren, Signaturen verifizieren, Nachrichten ver- und entschlüsseln) zu verwenden ist
die Zertifikatsliste, also die Liste der vertrauenswürdigen Kommunikationspartner
Hinweis
Der öffentliche Schlüssel des Servers kann aus der PSE oder der Keystore-Sicht exportiert werden, auf den privaten Schlüssel kann jedoch nicht zugegriffen werden.
Jede PSE oder Keystore-Sicht legt die Schlüssel und Zertifikatsliste ab, die für eine bestimmte Verbindungsart verwendet werden sollen. Die SSL-Server-PSE auf dem AS ABAP enthält z.B. das Schlüsselpaar und die Zertifikatsliste, die für SSL-Verbindungen verwendet werden sollen, bei denen der AS ABAP die Serverkomponente für die Verbindung ist. Die SSL-Client-PSE wird für SSL-Verbindungen verwendet, bei denen der AS ABAP die Client-Komponente der Verbindung ist. Auf dem AS Java enthält die Keystore-Sicht service_ssl einen Eintrag namens ssl-credentials, in dem der Schlüssel für eingehende SSL-Verbindungen abgelegt wird. Bei ausgehenden Verbindungen müssen Sie die entsprechenden Keystore-Sichten und -Einträge einrichten. Bei SNC wird die SNC-PSE für eingehende und ausgehende Verbindungen sowohl auf dem AS Java als auch auf dem AS ABAP verwendet.