Show TOC

Dokumentation zur VorgehensweiseZertifikate anfordern Dieses Dokument in der Navigationsstruktur finden

 

Sie erzeugen mit Hilfe des Kryptographietools SAPGENPSE eine Anfrage für ein Client-Zertifikat bei Ihrer Zertifizierungstelle (CA).

Voraussetzungen

Sie haben bereits für die Konfiguration der sicheren Kommunikation zwischen TREX-Präprozessor und Web-Server der Anwendung (HTTPS), die TREX nutzt, den Schlüsselspeicher SAPSSLS.pse angelegt (siehe Schlüsselspeicher mit Hilfe von SAPGENPSE erzeugen).

Vorgehensweise

Sie starten das Kryptographietool SAPGENPSE über eine Eingabeaufforderung.

Führen Sie die ausführbare Datei sapgenpse in dem Verzeichnis aus, das Sie in der Umgebungsvariable SECUDIR festgelegt haben. Das Kryptographietool SAPGENPSE erzeugt die Schlüsselspeicher und legt sie in diesem Verzeichnis ab.

  1. Erzeugen Sie eine Anforderung für ein Client-Zertifikat bei Ihrer CA, indem Sie folgendes eingeben:

    sapgenpse gen_pse -onlyreq -p SAPSSLS.pse

    Übersicht Befehle SAPGENPSE

    Befehl

    Funktion

    sapgenpse

    Startet das Kryptographietool SAPGENPSE

    gen_pse

    Funktion von SAPGENPSE, mit der Sie einen neuen Schlüsselspeicher und eine Zertifikatsanfrage erzeugen können.

    onlyreq

    Erzeugt eine Zertifikatsanforderung für einen bereits vorhandenen Schlüsselspeicher.

    -p SAPSSLS.pse

    Hier geben Sie den Datei-Namen des Schlüsselspeichers an, der das Client-Zertifikat enthält. Wir empfehlen dem Schlüsselspeicher den Namen SAPSSLS.pse zu geben.

  2. Nachdem Sie mit Hilfe des Schlüsselspeichers Zertifikate angefordert haben, müssen Sie ihn noch für die Benutzung initialisieren. Sie müssen unter Windows auch dem Benutzer Zugangsberechtigung zu den Schlüsselspeicherdateien geben, unter dem der IIS (Internet Information Server) läuft. Sie tun beides, indem Sie den folgenden Befehl eingeben:

    sapgenpse seclogin -p SAPSSLS.pse -O <IIS_user>

    Beispiel Beispiel

    sapgenpse seclogin -p SAPSSLS.pse -O P78121\IUSR_SAP-DD9CE47C712

    Sie ermitteln den IIS-Benutzer mit Hilfe des MS Administrationstools Internet Information Services.

    Ende des Beispiels.

    Befehl

    Funktion

    seclogin

    Funktion von SAPGENPSE, mit der Sie einen neuen Schlüsselspeicher für die Verwendung initialisieren.

    -p SAPSSLS.pse

    Hier geben Sie Pfad und Datei-Namen des Schlüsselspeichers an, den Sie initialisieren wollen.

    -O trex_IISUSer

    Mit diesem Befehl geben Sie dem Benutzer, unter dem der IIS läuft, Zugang zu dem Schlüsselspeicher.

    Hinweis Hinweis

    Ein Zertifikat, dessen Gültigkeit abgelaufen ist, können Sie wieder verlängern, indem Sie es mithilfe von SAPGENPSE zur Verlängerung an Ihre CA senden. Weitere Informationen dazu finden Sie unter Verwendung der Schlüsselspeicher: Abgelaufenes Zertifikat mithilfe von SAPGENPSE verlängern.

    Ende des Hinweises

Ergebnis

Sie haben eine Zertifikatsanforderung erzeugt, die Sie nun an Ihre CA senden können. Der Administrator der CA prüft Ihre Anforderung und stellt dann das eigentliche Zertifikat aus. Zusammen mit dem Client-Zertifikat holen Sie auch das Root-Zertifikat der CA ab. In den Schlüsselspeicher SAPSSLS.pse können Sie nun im nächsten Schritt das angeforderte Client-Zertifikat und das Root-Zertifikat Ihrer CA importieren und ablegen.