Show TOC

Dokumentation zur VorgehensweiseZertifikatsanforderungen an eine CA senden Dieses Dokument in der Navigationsstruktur finden

 

Nachdem Sie ein Schlüsselpaar und eine Zertifikatsanforderung erzeugt haben, müssen Sie die Zertifikatsanforderung zum Signieren an eine CA senden. Als Antwort schickt die CA ein signiertes Public-Key-Zertifikat für den Server.

Voraussetzungen

Sie können die Zertifikatsanforderung an die SAP Ca oder eine andere CA Ihrer Wahl schicken. Beachten Sie dabei allerdings, dass der Trust-Manager die Zertifikatsantwort gemäß dem PKCS#7-Certificate-Chain-Format benötigt. Das bedeutet, dass die Antwort sowohl das signierte Public-Key-Zertifikat des Anforderers als auch das Wurzelzertifikat der CA enthält. Alternativ dazu kann die CA ein eigenständiges Zertifikat im PEM-Format ausstellen. Beachten Sie Folgendes:

  • PKCS#7-Certificate-Chain-Format

    In diesem Fall liefert die ausstellende CA die Zertifikatsantwort im benötigten Format. Die SAP CA liefert z.B. die Antwort in diesem Format, oder Sie fordern dieses Format bei Ihrer CA an.

  • PEM-Format

    Alternativ können Sie eine Zertifikatsantwort von Ihrer CA im PEM-Format erhalten, die nur das signierte Public-Key-Zertifikat enthält.

    In diesem Fall muss das Wurzelzertifikat der CA auch in der Datenbank vorhanden sein. Der Trust-Manager ändert die Zertifikatsantwort dann automatisch, damit sie im benötigten Format vorliegt, bevor sie in die PSE des Servers importiert wird.

Vorgehensweise

Führen Sie für jede von Ihnen generierte Zertifikatsanforderung folgende Schritte durch:

  1. Falls Sie den Inhalt der Anforderung in eine Datei gesichert haben, stellen Sie sicher, dass der Inhalt nicht während des Herunterladens zerstört wurde. Falls Sie z.B. die Zertifikatsanforderung auf einem UNIX-System erzeugen und auf einem Windows-Frontend-Client ablegen, werden die Zeilenvorschübe und -umbrüche u.U. durch Sonderzeichen ersetzt.

    Um den Inhalt zu überprüfen, öffnen Sie die Zertifikatsanforderung mit einem Texteditor und reparieren Sie alle zerstörten Zeilenvorschübe und -umbrüche. Benutzen Sie einen Texteditor, der Zeichenformatierung nicht unterstützt, z.B. Notepad, da viele Editoren zur Formatierung ausgeblendete Zeichen verwenden.

    Das Beispiel unten zeigt eine korrekte Zertifikatsanforderung.

    Beispiel Beispiel

    -----BEGIN CERTIFICATE REQUEST-----

    MIIBkzCCAVICAQAwWjELMAkGA1UEBhMCREUxHDAaBgNVBAoTE215U0FQLmNvbS

    BXb3JrcGxhY2UxDzANBgNVBAsTBlNBUCBBRzEOMAwGA1UECxMFQmFzaXMxDDAK

    BgNVBAMTA0JJTzCB7jCBpgYFKw4DAhswgZwCQQCSnauC/cAfQVrmOtWznQ9I+i

    4twoPq8wCE0Fk5EAVjQnX2oMqBnyoi+ee/ZH2cLwyhp5mOOw70+exS7PHEWKiF

    AhUAw9FSY1AsFV4U9fC9w+Bg5H4ISYcCQARcC+7q3UkM0TF0A5zRaq7viO3Wj2

    MwYUNwFkc0hxzhloUQd21megZADoFiisdzkn/nF4eIxV9vq9XxcV63xTsDQwAC

    QFher18UA8YkY4/zHe4mbupBXvDSucm2nbJuQ5PgDBvVaMmtpXIisyzuAFL+qC

    zQ92mkNqUR9JLWpz09ghQdISCgADAJBgcqhkjOOAQDAzAAMC0CFA7qEluP/Kfi

    +6HF/8I7j4NfF44xAhUAqkDgAeR3tzmNegKUTQ+JzeCXawE=

    -----END CERTIFICATE REQUEST-----

    Ende des Beispiels.

  2. Senden Sie den Inhalt der Zertifikatsanforderung an die CA Ihrer Wahl.

    Die genaue Vorgehensweise, die Sie ausführen müssen, hängt von der von Ihnen verwendeten CA ab. Bei der SAP CA halten Sie sich an die Anweisungen des SAP Trust Center Service unter http://service.sap.com/tcs.

Ergebnis

Die CA validiert die in der Zertifikatsanforderung enthaltenen Informationen (gemäß ihrer eigenen Richtlinien) und sendet eine Antwort, die das signierte Public-Key-Zertifikat enthält.