Trust-Manager
Verwendung
Für den Erfolg Ihrer Geschäftsvorgänge ist es von entscheidender Bedeutung, solide Vertrauensbeziehungen aufzubauen, insbesondere durch die Verwendung des Internet, das die Firmengrenzen verschwimmen lässt. Daher verlassen sich viele Anwendungen in SAP-Systemen auf den Einsatz von Public-Key-Technologie, um die für erfolgreiche Geschäftsbeziehungen erforderliche Vertrauensinfrastruktur aufzubauen.
Unterstützung der Public-Key-Technologie in SAP-Systemen
Beispiele für die Unterstützung von Public-Key-Technologie in SAP-Systemen sind:
· Secure-Store-&-Forward-Mechanismen (SSF-Mechanismen)
Ab Release 4.0 unterstützen SAP-Systeme die Verwendung eines externen Sicherheitsprodukts mit SSF-Mechanismen. Durch Einsatz von SSF können die Anwendungen die Verwendung digitaler Signaturen und Dokumentverschlüsselung bei ihrer Verarbeitung unterstützen.
· System-PSE
Beim Start erhält jedes SAP-System ein Public-Key-Schlüsselpaar samt einem Public-Key-Zertifikat, das in der eigenen Persönlichen Sicherheitsumgebung (Personal Security Environment, PSE) des Systems abgelegt wird. Daher kann das SAP-System mit den Public-Key-Informationen aus seiner System-PSE eigene digitale Signaturen erzeugen. Andere Systeme können dann die digitale Signatur des Systems verifizieren, die die Integrität und Authentizität eines vom System digital signierten Dokuments garantiert.
Die Benutzerauthentifizierung im SAP Web Application Server (SAP Web AS) kann z. B. mit Anmeldetickets erfolgen. Dabei signiert der SAP Web AS das Anmeldeticket des Benutzers nach erfolgreicher Authentifizierung digital. Anstatt den Benutzer erneut mit Benutzerkennung und Kennwort zu authentifizieren, können andere Systeme, auf die der Benutzer zugreift, den Zugriff gestatten, nachdem sie die mit dem Anmeldeticket des Benutzers gelieferte digitale Signatur des SAP Web AS verifiziert haben.
· Unterstützung des Secure-Sockets-Layer-Protokolls (SSL-Protokolls)
Der SAP Web AS unterstützt das Secure-Sockets-Layer-Protokoll, das Authentifizierung zwischen Kommunikationspartnern und verschlüsselte Kommunikation bietet. In diesem Fall muss der Anwendungsserver für die SSL-Kommunikation auch ein Public-Key-Schlüsselpaar besitzen.
Verwalten der Public-Key-Informationen mit dem Trust-Manager
Sie können die für dieses und andere Szenarios erforderlichen Public-Key-Informationen mit dem Trust-Manager verwalten. Der Trust-Manager führt die PSE- und Zertifikatspflegefunktionen aus wie das Erzeugen von Schlüsselpaaren, das Anlegen von Zertifikatsanforderungen, die von einer Certification Authority (CA) signiert werden sollen, sowie die Pflege der Liste vertrauter CAs, die der Server akzeptiert.
Integration
Mit dem Trust-Manager können Sie die Public-Key-Informationen, z. B. für folgende von den SAP-Anwendungen verwendete PSE-Arten pflegen:
· die System-PSE
· PSE des Servers für Secure Network Communications (SNC), falls Sie als Sicherheitsprodukt die SAP Cryptographic Library verwenden
· die PSEs, die für mit SSL geschützte Kommunikation verwendet werden:
¡ SSL-Server-PSEs
¡ SSL-Client-PSEs
· beliebige Datei-PSEs
· PSEs, die von SSF-Anwendungen benutzt werden, die als Sicherheitsprodukt die SAP Security Library oder die SAP Cryptographic Library einsetzen. Mit dem Trust-Manager können Sie die PSEs für SSF-Anwendungen, die ein anderes Sicherheitsprodukt verwenden, nicht pflegen.
SSF-Anwendungen sind Anwendungen, deren Sicherheitsinformationen in Tabelle SSFARGS angegeben werden. Sie beinhalten die SSF-Standardanwendung und verschiedene Anwendungen, die spezifische Informationen verwenden, z. B. der HTTP Content Server oder die Anwendung des SAP Web AS für die Verwendung von Anmeldetickets.
Es gibt zwei Ablagemethoden für SSF-Anwendungs-PSEs:
- Die PSE kann in der Datenbank abgelegt werden, wobei eine Kopie der PSE an die Anwendungsserver des Systems verteilt wird.
- Die PSE kann im Dateisystem abgelegt werden und es kann auf Betriebssystemebene darauf zugegriffen werden. (In diesem Fall muss sich die PSE in einem global zugreifbaren Verzeichnis befinden.)
Voraussetzungen
Bevor Sie den Trust-Manager zur PSE-Pflege und Zertifikatverwaltung verwenden, sollten Sie sich mit der Public-Key-Technologie und der unter Terminologie und Abkürzungen zur Verfügung gestellten Terminologie vertraut machen.
Außerdem müssen Sie bei Verwendung des Trust-Managers zur Erzeugung von SSL- oder SNC-PSEs die SAP Cryptographic Library installieren und verwenden. Weitere Informationen erhalten Sie unter Verwendung des Secure-Sockets-Layer-Protokolls und SAP Cryptographic Library installieren (SAP Web AS).
Funktionsumfang
Der Trust-Manager bietet Funktionen, für
· das Erzeugen von Schlüsselpaaren und entsprechenden Zertifikatsanforderungen
· das Importieren der Zertifikatsantwort in eine PSE
· die PSE-Pflege (z. B. das Anlegen, Anzeigen und Löschen von PSEs sowie die Überwachung des PSE-Status)
· die Pflege der PSE-Zertifikatsliste
· das Anlegen einer Verifikations-PSE (eine PSE, die nur zum Überprüfen der digitalen Signatur des Inhabers verwendet werden kann)
· das Zuweisen einer PIN zu PSEs, wodurch auch Credentials für den Server angelegt werden, so dass der Server zur Laufzeit auf eine geschützte PSE zugreifen kann
· das Verteilen einer PSE an die einzelnen Anwendungsserver
· das Im- und Exportieren von PSEs
· das Importieren, Parsen und Exportieren von Zertifikaten
Beispiel
SAP Web Application Server: SSL-Unterstützung
Mit dem Trust-Manager können Sie Schlüsselpaare für die Anwendungsserver erzeugen, die SSL unterstützen sollen. Anschließend lassen Sie das System die entsprechenden Zertifikatsanforderungen erzeugen, die Sie zum Signieren an die CA senden.
Nachdem Sie eine Antwort von der CA erhalten haben, können Sie mit dem Trust-Manager das signierte Public-Key-Zertifikat in die SSL-Server-PSE des Systems importieren.
Mit dem Trust-Manager können Sie auch die Liste der vertrauenswürdigen CAs (Zertifikatsliste) pflegen, deren Public-Key-Zertifikate Sie für den Einsatz mit der SSL-Verbindung akzeptieren.
Weitere Informationen
Weitere Informationen über den Einsatz der Public-Key-Technologie in SAP-Systemen erhalten Sie unter:
Public-Key-Technologie