Show TOC

HintergrundBeschreibung der Schritte Dieses Dokument in der Navigationsstruktur finden

Aktivitäten

  1. Schritt 1: Schlüsselstatus prüfen

    Das Werkzeug prüft die Verwendung der Verschlüsselungsschlüssel in allen Instanzen (Anwendungsservern) des Systems. Diese Prüfung stellt die Konsistenz des initialen Status sicher, bevor Änderungen am Schlüsselmaterial vorgenommen werden.

    Konsistenz ist als Situation definiert, in der alle Instanzen denselben Primärschlüssel (der der Standardschlüssel sein kann) und den Standardschlüssel als Sekundärschlüssel verwenden.

    Das Ergebnis dieses Schritts ist eine Tabelle mit einer Zeile pro Instanz, die folgende Informationen enthält:

    Element

    Beschreibung

    Instanz

    Der Name der Instanz (wie in Transaktion SM51).

    Ausführungsergebnis

    Ausführungsergebnis der remote aufgerufenen Query-Funktion für den Schlüsselstatus. Mögliche Fehler hier sind RFC-Konnektivitätsprobleme oder eine Zielinstanz mit veralteter Kernel-Version.

    Legacy-Primärschlüssel

    Schlüssel, der von der Instanz als ihr Primärschlüssel bestimmt wurde. Ist die Schlüsseldatei nicht vorhanden, wird der Standardschlüssel verwendet.

    Hinweis Hinweis

    Das Schlüsseldatei-Werkzeug enthält Texte und Elemente mit einem „Legacy“-Bezeichner. Sie können diesen Bezeichner in diesem Release ignorieren. „Legacy“ bezieht sich auf das Werkzeug in Release 7.4 oder höher.

    Ende des Hinweises

    Legacy-Sekundärschlüssel

    Schlüssel, der von der Instanz als ihr Sekundärschlüssel bestimmt wurde. Ist die Schlüsseldatei nicht vorhanden oder enthält sie keinen Sekundärschlüssel, wird der Standardschlüssel verwendet.

    Legacy-Schlüsseldateipfad

    Der Pfad, der von der Instanz zum Suchen der Legacy-Schlüsseldatei verwendet wird. Der Wert wird im Profilparameter rsec/securestorage/keyfile angegeben und verfügt über einen Standardwert, der auf ein Verzeichnis im Bereich des Dateisystems zeigt, das von den Instanzen des Systems gemeinsam verwendet wird (DIR_GLOBAL).

    Wird die Konsistenzprüfung bestanden, wird die momentan verwendete Schlüsselmethode im Bereich Statuszusammenfassung angezeigt.

  2. Schritt 2: Eingaben prüfen

    Das Werkzeug führt einen Leseversuch für alle Datensätze durch, um sicherzustellen, dass diese mit dem aktuellen Verschlüsselungsschlüssel lesbar sind. Dadurch wird sichergestellt, dass vor einer Schlüsseländerung keine unlesbaren Datensätze vorliegen.

    Wenn Ihr Benutzerkonto nicht über die Berechtigung S_RZL_ADM mit Aktivität 01 verfügt, ist dies der letzte Schritt, den Sie ausführen können.

  3. Schritt 3: Schlüsselquelle wählen

    Für den neuen Verschlüsselungsschlüssel gibt es zwei mögliche Quellen:

    • Sie können das System veranlassen, einen beliebigen Schlüssel zu generieren.

    • Sie kennen bereits den Schlüsselwert und möchten diesen verwenden.

    SAP empfiehlt Ihnen, einen beliebigen Schlüssel zu generieren, da somit sichergestellt wird, dass jedes System einen individuellen Schlüssel verwendet.

    Jedoch gibt es auch Situationen, in denen Sie denselben Schlüssel für mehrere Systeme verwenden möchten, was Ihnen durch die letzte Option ermöglicht wird. Einige Meilensteine führen Aktualisierungen des Dateisystems oder der Datenbank auf dem generierten oder eingegebenen Schlüssel basierend durch. Wenn Sie einen Meilenstein dieses Typs abgeschlossen haben, das Werkzeug verlassen haben und den Vorgang wiederaufnehmen, zwingt das Werkzeug Sie, denselben Schlüsselwert erneut einzugeben. Sie können diese Situation daran erkennen, wenn Sie den Listenfeldwert von Eigenen Schlüssel eingeben nicht ändern können.

  4. Schritt 4: Schlüssel generieren/Eigenen Schlüssel eingeben

    Führen Sie die entsprechenden Schritte aus, je nach Ihrer Auswahl in Schritt 3:

    • Wenn Sie Zufälligen Schlüssel generieren gewählt haben

      1. Generierten Schlüssel notieren

        In diesem Schritt wird der generierte Schlüssel angezeigt. Notieren Sie ihn beispielsweise auf einem Zettel zur Ablage in einem Safe oder verwenden Sie die Zwischenablage, um ihn in einem elektronischen Äquivalent zu einem Safe abzulegen.

      2. Schlüsselsicherung nachweisen

        Nachdem das System den generierten Schlüssel angezeigt hat, werden Sie in diesem Schritt gebeten, beliebige Stellen des Schlüssels einzugeben. Auf diese Weise kann das System sicherstellen, dass Sie den Schlüssel zumindest aus der SAP-Benutzeroberfläche entfernt haben und somit kurz davor sind, ihn sicher abzulegen (was ohne diesen Schritt oder der Möglichkeit, den Schlüssel einfach mithilfe der Zwischenablage zu kopieren/einzufügen, nicht der Fall wäre).

        Wird dieser Schritt nicht durchgeführt, wird ein neuer zufälliger Schlüssel generiert.

    • Wenn Sie Eigenen Schlüssel eingeben gewählt haben

      Geben Sie Ihren eigenen Schlüssel ein.

      Geben Sie den Schlüssel ein, den Sie als den neuen Verschlüsselungsschlüssel verwenden möchten. Der Schlüssel muss als hexadezimale Zeichen mit einer Länge von 48 Zeichen ohne Leerzeichen eingegeben werden. Groß- und Kleinbuchstaben sind zulässig.

  5. Schritt 5: Schlüsselverteilungsstrategie wählen

    Der Standardablageort der Schlüsseldatei ist ein Verzeichnis im gemeinsamen Dateisystem der Instanzen. Von einer Instanz vorgenommene Änderungen sind für alle Instanzen sichtbar.

    Wenn Sie diesen Vorschlag nicht verwenden möchten, können Sie den Profilparameter rsec/securestorage/keyfile so ändern, dass er auf ein Verzeichnis zeigt, das für die Instanzen ein lokales Verzeichnis ist. Erwägungen in Bezug auf Dateizugriffssicherheit für das gemeinsame Dateisystem können diese Entscheidung beeinflussen.

    In diesem Schritt geben Sie im Werkzeug an, ob die Schlüsseldatei gemeinsam verwendet wird und die Aktualisierung einer einzelnen Instanz ausreichend ist (Aktualisierung auf einzelner Instanz) oder jede Instanz des Systems die Aktualisierung individuell vornehmen soll (Aktualisierung auf allen Instanzen).

    Unabhängig von Ihrer Auswahl werden alle Aktualisierungen des Schlüsselmaterials auf die Sichtbarkeit durch alle Instanzen hin nach jeder Änderung überprüft, wodurch eine falsche Verwendung von Aktualisierung auf einzelner Instanz automatisch ermittelt wird. Eine falsche Verwendung von Aktualisierung auf allen Instanzen kann die Schlüsseldatei beschädigen, da mehrere Instanzen versuchen, dieselbe Datei zu aktualisieren. Dies kann zu unerwarteten Ergebnissen führen, selbst wenn alle Instanzen die Aktualisierung nacheinander durchführen. Die Standardeinstellung ist daher Aktualisierung auf einzelner Instanz.

    Sie sollten dies nur dann zu Aktualisierung auf allen Instanzen ändern, wenn Sie sich sicher sind, dass Sie das System mit instanzspezifischen Schlüsseldateien ausführen.

  6. Schritt 6: Sekundärschlüssel aktualisieren

    Die Schlüsseldatei (wurde in Schritt 5 die Option Aktualisierung auf allen Instanzen gewählt: die Schlüsseldateien aller Instanzen) wird mit dem neuen Schlüssel als Sekundärschlüssel aktualisiert. Aufgrund der Schlüsselstatusprüfung in Schritt 1 lag zuvor kein Sekundärschlüssel vor. Deswegen steht fest, dass während dieser Aktualisierung kein Schlüssel versehentlich zerstört wurde.

  7. Schritt 7: Sichtbarkeitsprüfung des Sekundärschlüssels

    Das Werkzeug stellt für alle Instanzen sicher, dass der neue Schlüssel für sie als Sekundärschlüssel sichtbar ist. Die angezeigte Tabelle stimmt mit der in Schritt 1 angezeigten Tabelle überein und die Spalte Legacy-Sekundärschlüssel ist nun mit einem individuellen Schlüssel für alle Instanzen gefüllt. Die Zahl in Klammern neben Individueller Schlüssel ist ein temporärer Alias für den Schlüssel. Der genaue Aliaswert ist nicht von Bedeutung, außer dass Zahlen, wenn sie auf demselben Bild des Werkzeugs sichtbar sind, auf Folgendes hinweisen: Identische Zahlen deuten auf identische Schlüsselwerte und unterschiedliche Zahlen auf unterschiedliche Schlüsselwerte hin.

  8. Schritt 8: Neuen Schlüssel aktivieren

    Setzen Sie die Aktivierung des neuen Schlüssels fort, indem Sie die Positionen des Primär- und des Sekundärschlüssels austauschen (im Falle der Einführung eines ersten Schlüssels, bei der kein Primärschlüssel vorhanden ist, ist konsistent durch den Wegfall des Sekundärschlüssels in der neuen Schlüsseldatei abgedeckt). Ab sofort wird der neue Schlüssel wird zum Verschlüsseln neuer Datensätze verwendet, während alte Datensätze weiterhin mithilfe des Sekundärschlüssels lesbar sind.

  9. Schritt 9: Sichtbarkeitsprüfung der Schlüsselaktivierung

    Der nächste Schritt überprüft alle Instanzen und stellt sicher, dass der neue Schlüssel für sie als Primärschlüssel sichtbar ist. Die angezeigte Tabelle stimmt mit der in Schritt 1 angezeigten Tabelle überein und die Spalte Legacy-Primärschlüssel ist nun mit einem individuellen Schlüssel für alle Instanzen gefüllt.

  10. Schritt 10: Alle Datensätze mit neuem Schlüssel erneut verschlüsseln

    Alle Datensätze in der Datenbank werden mit dem neuen Schlüssel erneut verschlüsselt. Wird dieser Schritt erfolgreich abgeschlossen, verwenden alle Datensätze den Primärschlüssel als ihren Verschlüsselungsschlüssel und kein Schlüssel verwendet den Sekundärschlüssel mehr. Wenn Sie das Werkzeug zum Einführen des ersten individuellen Verschlüsselungsschlüssels verwendet haben, schließt das Werkzeug die Prüfung nach diesem Schritt ab.

  11. Schritt 11: Obsoleten Schlüssel löschen

    Der individuelle Verschlüsselungsschlüssel, der zuvor verwendet wurde und momentan als Sekundärschlüssel gesetzt ist, wird aus der Schlüsseldatei entfernt.

  12. Schritt 12: Löschung des Schlüssels verifizieren

    Überprüfen Sie für alle Instanzen, ob diese bestätigen können, dass der obsolete Sekundärschlüssel gelöscht wurde. Die Tabelle stimmt mit der in Schritt 1 angezeigten Tabelle überein und die Spalte Legacy-Sekundärschlüssel zeigt nun für alle Instanzen Standardschlüssel an. Das Werkzeug schließt nach diesem Schritt die Prüfung ab.