SAP Web Dispatcher für das Trennen der SSL-Verbindung konfigurieren

Soll der SAP Web Dispatcher die SSL-Verbindung trennen, muss er über Sicherheitsinformationen für die Verwendung der SSL-Kommunikation(en) verfügen. Diese Informationen sind in der persönlichen Sicherheitsumgebung (PSE) des SAP Web Dispatcher wie folgt abgelegt:

• Für Verbindungen, wenn er die Serverkomponente ist, sind diese Informationen in dessen SSL-Server-PSE abgelegt.
• Wenn der SAP Web Dispatcher auch die SSL-Verbindung zum AS Java herstellt, werden dessen Sicherheitsinformationen für die Verwendung dieser Verbindung in der SSL-Client-PSE abgelegt. Die Standard-SSL-Client-PSE verwendet den Dateinamen SAPSSLC.pse.

Der SAP Web Dispatcher verwendet für das Ausführen der erforderlichen Sicherheitsfunktionen SAP Cryptographic Libary.

Verwenden Sie die nachfolgende Vorgehensweise, um SAP Cryptographic Library auf dem SAP Web Dispatcher zu installieren und dessen Sicherheitsumgebung einzurichten.

• Sie haben SAP Cryptographic Library erhalten.
• Das zum Aussteller des AS-Java-Serverzertifikats gehörige CA-Wurzelzertifikat liegt als Datei im Format Privacy Enhanced Mail (PEM) oder DER (binär) im Dateisystem vor.

1. Installieren Sie die SAP Cryptographic Library auf dem Host des SAP Web Dispatcher.
   1. Extrahieren Sie den Inhalt des SAP-Cryptographic-Library-Pakets.
   2. Kopieren Sie die Bibliothek und das Konfigurationswerkzeug in das lokale Verzeichnis.
   3. Legen Sie ein Unterverzeichnis mit dem Namen sec auf dem SAP Web Dispatcher für die Verwendung der PSEs an. Kopieren Sie das Lizenzticket in dieses Verzeichnis. Wir bezeichnen dieses Verzeichnis nachfolgend als SECUDIR-Verzeichnis.
2. Setzen Sie die folgenden Profilparameter für den SAP Web Dispatcher.
   • DIR_INSTANCE=<SECUDIR-Verzeichnis>
   • icm/server_port_<xx>= PROT=HTTPS, PORT=<HTTPS_Port>, TIMEOUT=900
   • icm/HTTPS/verify_client=<0,1>
   • ssl/ssl_lib=<Ablageort_der_SAP_Cryptographic_Library>
   • ssl/server_pse=<Ablageort_der_SSL-Server-PSE>
   • ssl/client_pse=<Ablageort_der_SSL-Client-PSE>
   • wdisp/ssl_encrypt=<0,1,2>
   • wdisp/ssl_auth=<0,1,2>
   • wdisp/ssl_cred=<Dateiname_der_Client-PSE>
   • wdisp/ssl_host=<Common_host_name>
     Hinweis

     Beachten Sie Folgendes:

     • Der Parameter wdisp/ssl_cred ist nur erforderlich, wenn wdisp/ssl_auth = 2.
     • Verwenden Sie den Parameter wdisp/ssl_host, wenn mehrere Server im Backend denselben Hostnamen in ihren SSL-Server-Zertifikaten verwenden (z. B. www.mycompany.com).

     Weitere Informationen zu den einzelnen Parametern erhalten Sie in der Dokumentation zum SAP Web Dispatcher.

3. Legen Sie die PSEs und Zertifikatsanforderungen an.

   Mit dem Kommandozeilen-Editor:

   1. Wechseln Sie in das SECUDIR -Verzeichnis.
   2. Setzen Sie die Umgebungsvariable SECUDIR auf dieses Verzeichnis.
   3. Legen Sie mit dem Befehl get_pse des Konfigurationswerkzeugs eine SSL-Server-PSE an. Soll der SAP Web Dispatcher auch eine SSL-Verbindung zum AS Java herstellen, legen Sie auch eine SSL-Client-PSE an.
      Hinweis

      sapgenpse get_pse -p <PSE_Name> -x <PIN> [-r <cert_req_file>] <Distinguished Name>

      Hinweis

      Beachten Sie Folgendes:

      • Legen Sie für die SSL-Server-PSE eine Zertifikatsanforderung an.
      • Für die SSL-Client-PSE müssen Sie nur eine Zertifikatsanforderung, wenn wdisp/ssl_auth=1 oder 2 ist.
4. Senden Sie die Zertifikatsanforderung(en) zum Signieren an eine CA.

   Das genaue Vorgehen hängt von der von Ihnen verwendeten CA ab. Befolgen Sie für die SAP CA die von SAP Trust Center Services unter service.sap.com/tcs bereitgestellten Anweisungen.

   Die CA gibt eine Zertifikatsantwort für jede von Ihnen gesendete Anforderung zurück.

5. Importieren Sie jede Zertifikatsantwort in die entsprechende PSE Verwenden Sie den Befehl import_own_cert des Konfigurationswerkzeugs.
   Hinweis

   sapgenpse get_pse -p <PSE_Name> -x <PIN> [-r <cert_req_file>] <Distinguished Name>

6. Legen Sie Credentials für den Benutzer an, der den SAP Web Dispatcher ausführt. Verwenden Sie den Befehl seclogin des Werkzeugs wie nachfolgend angegeben. Verwenden Sie die Option -O zum Anlegen der Credentials für den Benutzer, der den SAP Web Dispatcher ausführt, z.B. SYSTEM.
   Hinweis

   sapgenpse seclogin -p <PSE_Name> -x <PIN> -O [Windows_Domain>\]<user_ID>

7. Importieren Sie mit dem Befehl maintain_pk des Konfigurationswerkzeugs das Wurzelzertifikat für die CA, die das Zertifikat des AS ausgestellt hat, in die SSL-Client-PSE.
   Hinweis

   sapgenpse maintain_pk -a <CA_root_cert> -p <PSE_Name> -x <PIN>

8. Starten Sie den SAP Web Dispatcher neu.
9. Wird der SAP Web Dispatcher mit SSL authentifiziert, (wdisp/ssl_auth = 1 oder2), importieren Sie das CA-Wurzelzertifikat für die CA, die das SSL-Zertifikat des Web Dispatchers ausgestellt hat, in die Liste der vertrauenswürdigen CAs auf dem AS Java. (Importieren Sie CA-Wurzelzertifikat mit dem Keystore-Service in die TrustedCAs-Sicht.)
10. Geben Sie mit dem SSL Provider Service an, wie der AS Java SSL-Client-Zertifikate verarbeiten soll.
    1. Wählen Sie für den zugehörigen SSL-Port die Registerkarte Client-Authentifizierung und geben Sie an, ob Client-Zertifikate für die Authentifizierung auf dem Server verwendet werden sollen. (Der Web Dispatcher ist der Client für diese Verbindung.)
    2. Fügen Sie das CA-Wurzelzertifikat zur Liste der vertrauenswürdigen CAs für den SSL-Port hinzu. (Wählen Sie Hinzufügen.)

Der SAP Web Dispatcher trennt eingehende SSL-Verbindungen. Ist wdisp/ssl_encrypt = 1 oder 2, stellt er auch eine SSL-Verbindung zum AS Java her. Ist wdisp/ssl_auth = 1 oder 2, wird SSL mit gegenseitiger Authentifizierung für die Verbindung zum AS Java verwendet.

Siehe auch:

Weitere Informationen zu den mit sapgenpse verfügbaren Befehlen erhalten Sie in der Dokumentation zum SAP Web Dispatcher.