Show TOC

Dokumentation zur VorgehensweiseMetadatenaustausch über SSL einrichten Dieses Dokument in der Navigationsstruktur finden

 

Der SAP Web Dispatcher bekommt seine Informationen über die Applikationsserver und Gruppen, die er für den Lastausgleich benötigt, vom Message-Server und den Applikationsservern:

  • Die Server-Information (d.h. die Liste der Server, die der Web Dispatcher für Requests nutzen kann) bekommt er vom Message-Server.

  • Die Information über die Logongruppen und über das URL-Mapping bekommt er von einem ABAP-Applikationsserver.

  • Mittels ping-Requests zu den Applikationsservern prüft der Web Dispatcher die Verfügbarkeit der Applikationsserver.

Diese Kommunikation läuft über HTTP.

Sie können zur Erhöhung der Sicherheit diesen Kommunikationskanal SSL-verschlüsseln, also als Protokoll HTTPS verwenden.

Hinweis Hinweis

Es geht hier nicht um die HTTP(S)-Daten, die der SAP Web Dispatcher an die Applikationsserver weiterleitet (siehe dazu SAP Web Dispatcher und SSL), sondern lediglich um die Metadaten, die der Web Dispatcher vom Message-Server bekommt.

Ende des Hinweises.

Voraussetzungen

Um zwischen Web Dispatcher und Message-Server HTTPS verwenden zu können, müssen folgende Voraussetzungen erfüllt sein.

  • Der SAP Web Dispatcher muss für SSL eingerichtet sein, d. h. die sapcryptolib muss installiert sein und die Zertifikate müssen wie bei der Terminierung von HTTPS im Web Dispatcher behandelt werden. Informationen dazu finden Sie unter SAP Web Dispatcher für die Unterstützung von SSL konfigurieren.

  • Der Message-Server muss für SSL eingerichtet sein, d. h. die sapcryptolib muss installiert sein, ein Serverzertifikat muss vorhanden sein, und ein HTTPS-Port muss konfiguriert sein. Im Profil des Message-Servers müssen folgende Parameter gesetzt sein:

    • ms/server_port_<xx> = PROT=HTTPS, PORT=<HTTPS-Port>

    • ssl/ssl_lib=<Ablageort_der_SAP_Cryptographic_Library>

    • ssl/server_pse=<Ablageort_der_SSL-Server-PSE>

    • ssl/client_pse=<Ablageort_der_SSL-Client-PSE>

  • Der SAP Web Dispatcher benötigt für die ausgehenden Requests einen Service (Port) (icm/server_port_<xx>) mit PROT=HTTPS. Wenn Sie SSL-Terminierung konfiguriert haben, gibt es bereits einen solchen Eintrag. Sonst können Sie icm_server_port_<xx> = PROT=HTTPS,PORT=0 definieren. Dann kann der Web Dispatcher SSL-Requests verschicken, aber keine SSL-Requests empfangen.

  • Die Serverzertifikate vom Message-Server und vom Applikationsserver müssen vom SAP Web Dispatcher akzeptiert werden können. Dazu müssen die Certificate Authorities (CAs) aus den Serverzertifikaten als "trusted CAs" in der SSL Client PSE des SAP Web Dispatchers enthalten sein.

  • Nur für Server-Info: Der HTTPS-Port des Message-Servers, mit dem sich der SAP Web Dispatcher verbinden soll, muss im Profil des Web Dispatchers gesetzt sein (Parameter ms/https_port).

    Achtung Achtung

    Beachten Sie die unterschiedlichen Parameter: im Profil des Web Dispatchers wird der HTTP(S)-Port des Message-Servers über ms/https_port spezifiziert, im Profil des Message-Servers über ms/server_port_<xx>.

    Ende der Warnung.

  • Gruppen-Info und URL-Mapping-Info: Für den Austausch der Informationen zwischen SAP Web Dispatcher und Applikationsservern muss mindestens auf einem Applikationsserver ein HTTPS-Port eingerichtet sein (icm/server_port_<xx>), die interne Gruppe !DIAGS darf nicht leer sein (vgl. Architektur und Funktionsweise des SAP Web Dispatchers).

    Empfehlung Empfehlung

    Um hier keinen Single-Point-Of-Failure zu bekommen, empfiehlt SAP, mindestens zwei HTTPS-fähige Applikationsserver einzurichten.

    Ende der Empfehlung.

  • ping-Requests: Sollen die ping-Requests über HTTPS gehen, müssen alle Applikationsserver für SSL eingerichtet sein und SSL-Ports zur Verfügung stellen.

    Weitere Informationen: SAP Web AS für SSL-Unterstützung konfigurieren

Vorgehensweise

Setzen Sie die Profilparameter wdisp/server_info_protocol, wdisp/group_info_protocol,wdisp/url_map_protocol bzw. wdisp/ping_protocol auf den Wert https (vgl. Profilparameter des SAP Web Dispatchers). Sie können die Parameter für die verschiedenen Informationen einzeln setzen.

Wenn Sie die gesamten Informationen verschlüsseln wollen, setzen Sie also

wdisp/server_info_protocol = https

wdisp/group_info_protocol = https

wdisp/url_map_protocol = https

wdisp/ping_protocol = https

Ergebnis

Die Informationen über Applikationsserver, Logongruppen und URL-Präfixe werden bei der Übertragung vom Message-Server zum Web Dispatcher SSL-verschlüsselt.

Weitere Informationen

In folgenden Abschnitten finden Sie weitere Informationen zum Einsatz von SSL beim SAP Web Dispatcher: