Show TOC

Dokumentation zur VorgehensweiseSSL-Server-PSE anlegen Dieses Dokument in der Navigationsstruktur finden

 

Die SSL-Server-PSE enthält die Sicherheitsinformationen des Anwendungsservers, die dieser benötigt, um unter Verwendung von SSL als Server-Komponente zu kommunizieren. Diese Daten, insbesondere der Distinguished Name des Servers, werden zur Identifizierung des Servers verwendet, wenn eine Verbindung aufgebaut wird. Wenn Sie also ein System mit mehreren Anwendungsserverinstanzen haben, dann stehen folgenden Optionen zur Verfügung, um die Server-Identität aufzulösen:

  • Verwenden einer einzigen systemweiten SSL-Server-PSE, wobei der Distinguished Name für alle Server gleich ist.

  • Sie verwenden serverspezifische SSL-Server-PSEs für einzelne Anwendungsserver.

  • Sie verwenden eine Kombination beider Arten. (Einige Anwendungsserver verwenden eine systemweit gültige SSL-Server-PSE und andere Anwendungsserver verwenden serverspezifische SSL-Server-PSEs.)

    Hinweis Hinweis

    Verwenden Sie für die Anwendungsserver, auf die über einen Network Address Translator (NAT) zugegriffen wird, eine systemweit gültige PSE. Verwenden Sie den voll qualifizierten Hostnamen des NAT als Common-Name-Teil (CN-Teil) des Distinguished Name.

    Ende des Hinweises

Pflegen Sie die PSEs mit dem Trust-Manager (Transaktion STRUST).

Voraussetzungen

  • Die SAP Cryptographic Library ist auf dem Anwendungsserver im Verzeichnis $(DIR_EXECUTABLE) installiert.

    Hinweis Hinweis

    Wenn die SAP Cryptographic Library nicht installiert ist, sind die Knoten SSL-Server und SSL-Client nicht im PSE-Status-Abschnitt des Trust-Managers enthalten.

    Ende des Hinweises

  • Die für den Distinguished Name des Servers zu verwendende Namenskonvention ist Ihnen bekannt. Die Syntax des Distinguished Name hängt von der von Ihnen verwendeten Certification Authority (CA) ab.

    Beispiel Beispiel

    Falls Sie z. B. die SAP CA verwenden, lautet die Namenskonvention CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE.

    Ende des Beispiels.

    Hinweis Hinweis

    Weitere Informationen zu den SAP-CA-Namenskonventionen erhalten Sie im SAP Trust Center Service unter http://service.sap.com/tcs.

    Ende des Hinweises

Vorgehensweise

Führen Sie im Bild Trust-Manager folgende Schritte aus:

  1. Markieren Sie den Knoten SSL-Server.

  2. Wählen Sie im Kontextmenü Anlegen (wenn keine PSE vorhanden ist) oder Ersetzen.

    Sie gelangen auf das Dialogfenster zum Anlegen oder Ersetzen der PSE.

  3. Geben Sie in den entsprechenden Feldern die Teile des Distinguished Name einer Standard-SSL-Server-PSE ein. Verwenden Sie für die Standard-SSL-Server-PSE im Feld Name als Hostnamen den Platzhalter (*), z. B.:

    • Name = *.mycompany.com

    • Org. (opt.) = Test

    • Firma/Org. = MyCompany

    • Land = US

      Hinweis Hinweis

      Wenn Sie eine Referenz auf einen CA-Namensraum verwenden wollen, werden die im Namensraum der CA enthaltenen Elemente automatisch für den Distinguished Name des Servers verwendet. Außerdem können Sie das Feld Land nicht ändern. Mit der Umschaltfunktion (Namensraum aktiv/nicht aktiv (Namensraum aktiv/nicht aktiv)) aktivieren oder deaktivieren Sie die Referenz auf einen CA-Namensraum.

      Ende des Hinweises

    Das System baut mit diesen Teilen einen Namensvorschlag für den Distinguished Name auf, der für eine systemweit gültige PSE verwendet wird, sowie zum Aufbau der serverspezifischen Namen eigener PSEs.

    Sie gelangen dann auf das Bild SSL-Server. Dort legen Sie fest, ob die einzelnen Anwendungsserver den Namensvorschlag des Distinguished Name und die systemweit gültige SSL-Server-PSE oder eigene PSEs verwenden sollen. Der Namensvorschlag für den Distinguished Name wird im Feld Default PSE DN angezeigt. Die serverspezifischen Distinguished Names werden in der Tabelle in der Spalte Distinguished Name angezeigt.

  4. Falls erforderlich, ändern oder löschen Sie je nach Bedarf jeden der Distinguished Names des einzelnen Anwendungsservers.

    Sie können z.B. folgende Aktionen ausführen:

    • Den Distinguished-Name-Eintrag für alle Server, die den Namensvorschlag für den Distinguished Name erhalten sollen, löschen.

    • Allen Servern, auf die über NAT zugegriffen werden soll, denselben Distinguished Name zuweisen.

    • Um der Namenskonvention Ihrer CA zu entsprechen, den Distinguished Name ändern (z. B. durch Hinzufügen eines Attributs wie L=<Ort>).

      Hinweis Hinweis

      Falls das System für den Server keinen Distinguished Name ermitteln konnte, trat ein Fehler auf, entweder in der Verbindung, oder die Konfiguration des Zielservers wurde nicht fehlerfrei durchgeführt.

      Ende des Hinweises

  5. Wählen Sie Enter.

    Sie kehren damit zum Bild Trust-Manager zurück.

Ergebnis

Das System legt die SSL-Server-PSEs an und verteilt sie an die einzelnen Anwendungsserver.