Show TOC

Eigenes Zertifikat für Content-Server-Zugriff definierenLocate this document in the navigation structure

Verwendung

Um sicherzustellen, dass jedes SAP-System ein eigenes Zertifikat besitzt, muss in jedem SAP-System nach dessen Aufbau einmalig ein so genanntes Personal Security Environment PSE erzeugt werden. Dies erfolgt im Trust Manager (Transaktion STRUST , siehe auch Dokumentation zum Trust Manager ).

Standardmäßig wird für das Erstellen und Verifizieren von signierten URLs im SAP-System die System-PSE eingesetzt. Ab SAP Web Application Server Release 6.10 ist es alternativ auch möglich, eine eigene PSE zu verwenden.

Hierbei sind zwei Fälle zu unterscheiden:

  • Wenn das SAP-System als Client fungiert und als Ablage einen externen Content-Server einsetzt, dann führt das Anlegen einer eigenen PSE dazu, dass URLs nicht mehr mit der System-PSE unterschrieben werden, sondern mit der neuen, eigenen PSE. In diesem Fall sind nur Private und Public Key relevant, die Zertifikatsliste hat keine Bedeutung.

  • Wenn das SAP-System selbst als Content-Server agiert und über den SAP Web Application Server HTTP-fähig wird, dann dient die PSE auch dazu, dass in der Zertifikatsliste alle für die Prüfung von Signaturen relevanten Public Keys aufbewahrt werden.

Die Prüfung selbst findet jedoch über die Content-Server-Administration (siehe auch Content-Server- und Cache-Server-Administration ) statt: Dies sehen Sie in der Transaktion CSADMIN auf der Registerkarte Zertifikate .

Hinweis

Führen Sie die im Folgenden beschriebene Vorgehensweise für die Definition eines eigenen Zertifikats für den Content-Server-Zugriff aus, bevor Sie Repositories anlegen.

Wenn Sie diese Einstellungen vornehmen, nachdem Sie Repositories angelegt haben, müssen Sie an allen HTTP-Repositories die Zertifikate sowohl neu versenden als auch aktivieren. Dies ist erforderlich, da sich durch das Erzeugen einer neuen PSE das Zertifikat ändert.

Falls Sie den HTTP-Zugriff auf die Datenbankablage einsetzen (siehe auch HTTP-Zugang für Repositories auf dem SAP Web Application Server ), müssen Sie auch hier die Zertifikate neu verteilen und aktivieren.

Vorgehensweise

Gehen Sie folgendermaßen vor, um für das Erstellen und Verifizieren von signierten URLs im SAP-System eine eigene PSE zu verwenden:

  1. Rufen Sie die Transaktion STRUST auf.

    Sie verzweigen in den Trust Manager.

  2. Wählen Sie Anwendungen .

  3. Wählen Sie Neue Einträge .

  4. Wählen Sie über die F4-Hilfe HTTP Content Server aus und bestätigen Sie mit Enter .

    Zusätzliche Felder für anwendungsspezifische SSF-Parameter und Standardwerte für leere Felder werden eingeblendet.

  5. Machen Sie folgende Angaben:

    1. Geben Sie im Feld Sicherh.produkt SAPSECULIB ein.

    2. Wählen Sie als SSF-Format Internationaler Standard PKCS#7 aus.

    3. Geben Sie im Feld Priv.Adr.Buch SAPHTTPCS.pse ein.

    4. Geben Sie im Feld SSF-Profilname ebenfalls SAPHTTPCS.pse ein.

    5. Geben Sie im Feld SSF-Profil-ID CN=<Common name>,OU=<Organization Unit>,O=<Organization>,C=<Country> ein.

      Beispiel: CN=BCECS,OU=DEV,O=SAP-AG,C=DE

    6. Markieren Sie die Option PSE verteilen .

  6. Sichern Sie Ihre Eingaben.

  7. Rufen Sie die Transaktion STRUST erneut auf.

  8. Markieren Sie den Eintrag HTTP Content Server .

  9. Wählen Sie im Kontextmenü Ersetzen .

  10. Bestätigen Sie die folgende Sicherheitsabfrage.

  11. Bestätigen Sie im folgenden Dialogfenster PSE ersetzen die Angaben mit .

Beispiel

Die HTTP-Content-Server-PSE verweist auf eine eigene PSE, so dass Sie z. B. festlegen können, dass Sie ein bestimmtes Zertifikat nicht mehr verwenden möchten. In diesem Fall müssen Sie in der Content-Server-Administration das Zertifikat bei allen Repositories löschen. Außerdem müssen Sie es aus der Zertifikatsliste herauslöschen.