Der SAP Web Dispatcher bekommt seine Informationen über die Applikationsserver und Gruppen, die er für den Lastausgleich benötigt, vom Message-Server und den Applikationsservern:
Die Server-Information (d.h. die Liste der Server, die der Web Dispatcher für Requests nutzen kann) bekommt er vom Message-Server.
Die Information über die Logongruppen und über das URL-Mapping bekommt er von einem ABAP-Applikationsserver.
Mittels ping-Requests zu den Applikationsservern prüft der Web Dispatcher die Verfügbarkeit der Applikationsserver.
Diese Kommunikation läuft über HTTP.
Sie können zur Erhöhung der Sicherheit diesen Kommunikationskanal SSL-verschlüsseln, also als Protokoll HTTPS verwenden.
Hinweis
Es geht hier nicht um die HTTP(S)-Daten, die der SAP Web Dispatcher an die Applikationsserver weiterleitet (siehe dazu SAP Web Dispatcher und SSL), sondern lediglich um die Metadaten, die der Web Dispatcher vom Message-Server bekommt.
Um zwischen Web Dispatcher und Message-Server HTTPS verwenden zu können, müssen folgende Voraussetzungen erfüllt sein.
Der SAP Web Dispatcher muss für SSL eingerichtet sein, d. h. die sapcryptolib muss installiert sein und die Zertifikate müssen wie bei der Terminierung von HTTPS im Web Dispatcher behandelt werden. Informationen dazu finden Sie unter SAP Web Dispatcher für die Unterstützung von SSL konfigurieren.
Der Message-Server muss für SSL eingerichtet sein, d. h. die sapcryptolib muss installiert sein, ein Serverzertifikat muss vorhanden sein, und ein HTTPS-Port muss konfiguriert sein. Im Profil des Message-Servers müssen folgende Parameter gesetzt sein:
ms/server_port_<xx> = PROT=HTTPS, PORT=<HTTPS-Port>
ssl/ssl_lib=<Ablageort_der_SAP_Cryptographic_Library>
ssl/server_pse=<Ablageort_der_SSL-Server-PSE>
ssl/client_pse=<Ablageort_der_SSL-Client-PSE>
Der SAP Web Dispatcher benötigt für die ausgehenden Requests einen Service (Port) (icm/server_port_<xx>) mit PROT=HTTPS. Wenn Sie SSL-Terminierung konfiguriert haben, gibt es bereits einen solchen Eintrag. Sonst können Sie icm_server_port_<xx> = PROT=HTTPS,PORT=0 definieren. Dann kann der Web Dispatcher SSL-Requests verschicken, aber keine SSL-Requests empfangen.
Die Serverzertifikate vom Message-Server und vom Applikationsserver müssen vom SAP Web Dispatcher akzeptiert werden können. Dazu müssen die Certificate Authorities (CAs) aus den Serverzertifikaten als "trusted CAs" in der SSL Client PSE des SAP Web Dispatchers enthalten sein.
Nur für Server-Info: Der HTTPS-Port des Message-Servers, mit dem sich der SAP Web Dispatcher verbinden soll, muss im Profil des Web Dispatchers gesetzt sein (Parameter ms/https_port).
Achtung
Beachten Sie die unterschiedlichen Parameter: im Profil des Web Dispatchers wird der HTTP(S)-Port des Message-Servers über ms/https_port spezifiziert, im Profil des Message-Servers über ms/server_port_<xx>.
Gruppen-Info und URL-Mapping-Info: Für den Austausch der Informationen zwischen SAP Web Dispatcher und Applikationsservern muss mindestens auf einem Applikationsserver ein HTTPS-Port eingerichtet sein (icm/server_port_<xx>), die interne Gruppe !DIAGS darf nicht leer sein (vgl. Architektur und Funktionsweise des SAP Web Dispatchers).
Empfehlung
Um hier keinen Single-Point-Of-Failure zu bekommen, empfiehlt SAP, mindestens zwei HTTPS-fähige Applikationsserver einzurichten.
ping-Requests: Sollen die ping-Requests über HTTPS gehen, müssen alle Applikationsserver für SSL eingerichtet sein und SSL-Ports zur Verfügung stellen.
Weitere Informationen: SAP Web AS für SSL-Unterstützung konfigurieren
Setzen Sie die Profilparameter wdisp/server_info_protocol, wdisp/group_info_protocol,wdisp/url_map_protocol bzw. wdisp/ping_protocol auf den Wert https (vgl. Profilparameter des SAP Web Dispatchers). Sie können die Parameter für die verschiedenen Informationen einzeln setzen.
Wenn Sie die gesamten Informationen verschlüsseln wollen, setzen Sie also
wdisp/server_info_protocol = https
wdisp/group_info_protocol = https
wdisp/url_map_protocol = https
wdisp/ping_protocol = https
Die Informationen über Applikationsserver, Logongruppen und URL-Präfixe werden bei der Übertragung vom Message-Server zum Web Dispatcher SSL-verschlüsselt.
In folgenden Abschnitten finden Sie weitere Informationen zum Einsatz von SSL beim SAP Web Dispatcher: