Vertrauensbeziehung aufbauen 
Um die durch SSL und SNC gebotenen Sicherheitsfunktionen verwenden zu können, müssen Sie zwischen den an der Kommunikation beteiligten Komponenten eine Vertrauensbeziehung einrichten. Obwohl die zugrunde liegenden Konzepte sehr ähnlich sind, sind beim Einrichten dieser Vertrauensbeziehungen einige Faktoren zu beachten, z.B. welches Sicherheitsprodukt und welche Technologie für das Sichern der Verbindungen verwendet wird.
Beispiel
Das Einrichten der Vertrauensbeziehung zwischen Serverkomponenten bei Verwendung der SAP Cryptographic Library for SNC z.B. unterscheidet sich wahrscheinlich vom Einrichten der Vertrauensbeziehung zwischen Benutzer-Client-Komponenten und Serverkomponenten. Diese Verbindungen werden mit SSL gesichert.
Weitere Informationen über die zu berücksichtigenden Faktoren finden Sie in den Abschnitten unten.
Vom Sicherheitsprodukt verwendete Sicherheitstechnologie / Public-Key-Technologie
Als erster Faktor beim Festlegen der Installationsweise der Vertrauensbeziehungen muss die vom Sicherheitsprodukt verwendete Sicherheitstechnologie berücksichtigt werden. Beide von SAP gelieferten Produkte (die SAP Cryptographic Library und das SAP Java Cryptographic Toolkit) verwenden Public-Key-Technologie. In diesem Fall wird jeder Komponente ein Schlüsselpaar ausgestellt, das aus privatem und öffentlichem Schlüssel besteht. Der private Schlüssel wird sicher auf dem Server abgelegt und der öffentliche Schlüssel wird in Form eines Public-Key-Zertifikats an die Kommunikationspartner verteilt. Die Vertrauensbeziehung wird durch Überprüfen des öffentlichen Schlüssels des Kommunikationspartners, der mit dem Public-Key-Zertifikat geliefert wird, eingerichtet.
Hinweis
Andere Produkte können andere Technologien verwenden, z.B. Kerberos.
Folgende Abschnitte beschreiben die beteiligten Faktoren, wenn Public-Key-Technologie verwendet wird, und insbesondere, wenn die von SAP gelieferten Produkte verwendet werden.
Schlüsselpaar erhalten
Bei Verwendung der Public-Key-Technologie braucht jeder Kommunikationspartner ein Public-Key-Schlüsselpaar.
Sowohl der Keystore-Service auf dem AS Java als auch der Trust-Manager auf dem AS ABAP bieten Funktionen zum Erzeugen des Schlüsselpaars an. Diese Werkzeuge stehen zur Verfügung, wenn Sie die von SAP gelieferten kryptografischen Produkte verwenden.
Vertrauensbeziehung durch Austausch von Public-Key-Zertifikaten aufbauen
Um die Vertrauensbeziehung zwischen Kommunikationspartnern bei Verwendung von Public-Key-Technologie aufzubauen, muss jeder Kommunikationspartner den öffentlichen Schlüssel des anderen überprüfen können. Dazu werden die öffentlichen Schlüssel mit Public-Key-Zertifikaten ausgetauscht. Nachdem die Zertifikate ausgetauscht wurden, können die Kommunikationspartner die Identität der anderen Komponente zum Zeitpunkt der Verbindung überprüfen.
Hinweis
Es kann Fälle geben, in denen eine Komponente die Identität der anderen Komponente, die auf sie zugreift, nicht zu überprüfen braucht. Dies ist z.B. der Fall, wenn viele Clients auf eine Serverkomponente zugreifen, und die Identität des Servers notwendig ist, aber nicht die des Clients. Dies wird als serverseitige Authentifizierung bezeichnet. In diesen Fällen benötigen die Clients Zugriff auf den öffentlichen Schlüssel des Servers, aber nicht umgekehrt. Wenn beide Komponenten überprüft werden müssen, müssen beide auf den öffentlichen Schlüssel des anderen zugreifen können. Dies wird als gegenseitige Authentifizierung bezeichnet.
Ein von einer Certification Authority signiertes Public-Key-Zertifikat verwenden
Wenn die Kommunikationspartner für eine bestimmte Verbindung feststehen, ist der manuelle Aufwand, der beim Austausch der Public-Key-Zertifikate zum Aufbau der Vertrauensbeziehung anfällt, passabel. In Fällen mit vielen oder dynamischen Kommunikationspartnern ist manuelle Austauschen der Public-Key-Zertifikate im Voraus allerdings aufwendiger. Ein typisches Szenario für diesen Fall ist die serverseitige Authentifizierung bei Verwendung von SSL, bei der viele Clients über einen Web-Browser auf den Server zugreifen.
In solchen Fällen wird das Public-Key-Zertifikat des Servers normalerweise von einer Certification Authority (CA) signiert. Die CA überprüft die Identität der Person oder Komponente, die das Zertifikat anfordert, in diesem Fall der Server, und signiert das Zertifikat digital. Beim Verbindungsaufbau muss der Kommunikationspartner der CA vertrauen und überprüft daher das Public-Key-Zertifikat der CA, anstatt das Zertifikat jedes einzelnen Servers zu überprüfen und ihm zu vertrauen. Das CA-Zertifikat wird als Wurzelzertifikat der CA bezeichnet.
Viele CAs sind bekannt und ihre Wurzelzertifikate werden im Voraus verteilt (z.B. werden viele mit den Standard-Web-Browsern geliefert). In diesen Fällen ist es daher einfacher, eine Vertrauensbeziehung aufzubauen, wenn der CA vertraut wird, die das Public-Key-Zertifikat der Komponente ausstellte.
Mehrere Komponenten teilen sich ein Schlüsselpaar
Es kann auch Fälle geben, in denen Sie dasselbe Schlüsselpaar für beide Kommunikationspartner verwenden können. In diesem Fall kopieren Sie das Schlüsselpaar von einer Serverkomponente auf die andere. In diesem Fall wird die Vertrauensbeziehung automatisch aufgebaut, da das Schlüsselpaar für beide Komponenten dasselbe ist.
Empfehlung
Verwenden Sie diese Möglichkeit nur, wenn die Kommunikationspartner eng miteinander verbunden sind und sich automatisch vertrauen können, z.B. ein AS Java und ein AS ABAP als Bestandteile eines Dual-Stack-Systems. Wenn die Vertrauensbeziehung nicht automatisch besteht, empfehlen wir Ihnen, für jeden Kommunikationspartner eigene Schlüsselpaare zu verwenden.
Hinweis
Auch wenn die anfängliche Konfiguration leichter ist, nimmt die Transparenz ab, da alle Komponenten dasselbe Schlüsselpaar und andere Identifizierungsattribute verwenden (z.B. den Distinguished Name). Daher ist es schwieriger, zu ermitteln, welches Schlüsselpaar in einer Fehlermeldung oder in Trace-Informationen tatsächlich gemeint ist.
Beispielszenarios für das Einrichten von Vertrauensbeziehungen
Welche Methode Sie für das Einrichten der Vertrauensbeziehung in den unterschiedlichen Fällen verwenden sollten, illustrieren folgende Abschnitte:
Dies ist keine vollständige Liste aller Optionen, aber sie sollte Ihnen einen Überblick über die zu verwendenden Methoden zum Einrichten der Vertrauensbeziehungen in den am häufigsten auftretenden Fällen geben.