SAP Web AS für SSL-Unterstützung konfigurieren

Voraussetzungen

·        Die SAP Cryptographic Library ist auf dem Anwendungsserver im Verzeichnis $(DIR_EXECUTABLE) installiert. (Siehe SAP Cryptographic Library installieren.)

Wenn die SAP Cryptographic Library nicht installiert ist, sind die Knoten SSL-Server und SSL-Client nicht im Abschnitt PSE-Status des Trust-Managers enthalten.

·        Folgende Profilparameter sind im Instanzprofil des Anwendungsservers angegeben. Diese Parameter werden normalerweise bei der Installation gesetzt, allerdings können Sie die Vorschlagswerte anpassen.

Parameter	Wert
icm/server_port_<xx>	HTTPS-Port
icm/HTTPS/verify_client	0:   Keine Zertifikate verwenden 1:   1: Lässt Zertifikate zu (Vorschlagswert) 2:   Fordert Zertifikate

Wenn icm/HTTPS/verify_client = 1, gelangen alle Benutzer, die den Microsoft Internet Explorer als Web-Browser verwenden und die kein Client-Zertifikat besitzen, beim Zugriff auf den SAP Web Application Server auf ein leeres Zertifikatsauswahlfenster. Wenn Ihre Benutzer zur Authentifizierung keine Client-Zertifikate verwenden, setzen Sie diesen Parameter daher auf den Wert 0.

Falls Sie einen der icm-Profilparameter ändern, starten Sie den ICManager erneut.

Beispielparameter:

icm/server_port_2        PROT=HTTPS, PORT=443, TIMEOUT=15

icm/HTTPS/verify_client  1

Vorgehensweise

SSL-Server-PSEs anlegen

Um die SSL-Server-PSE anzulegen und zu pflegen, führen Sie folgende Schritte aus:

...

       1.      Legen Sie die SSL-Server-PSEs an.

       2.      Erzeugen Sie für jede SSL-Server-PSE eine Zertifikatsanforderung.

       3.      Senden Sie die Zertifikatsanforderungen zum Signieren an eine CA.

       4.      Importieren Sie die Zertifikatsantworten in die SSL-Server-PSEs des Servers.

       5.      Pflegen Sie die Zertifikatsliste der SSL-Server-PSE.

SSL-Client-PSEs anlegen

Um die SSL-Client-PSEs anzulegen und zu pflegen, führen Sie folgende Schritte aus:

       6.      Wiederholen Sie die Vorgehensweise zum Erzeugen der Standard-SSL-Client-PSE.

       7.      Wenn der Anwendungsserver in der Lage sein soll, die anonyme Identität zur Kommunikation mit anderen Web-Servern zu verwenden, dann wiederholen Sie die Vorgehensweise zum Anlegen der anonymen SSL-Client-PSE.

       8.      Wenn der Anwendungsserver in der Lage sein soll, individuelle Identitäten zur Kommunikation mit anderen Web-Servern bei Verwendung von SSL zu benutzen, dann legen Sie einzelne SSL-Client-PSEs an.

Zu verwendende SSL-Client-PSE definieren

       9.      Definieren Sie in Transaktion SM59 die HTTP-Destinationen für den SAP Web Application Server. In diesen Destinationen können Sie angeben, ob für die Verbindung SSL verwendet werden soll und welche SSL-Client-PSE der Server verwenden soll. Siehe “Verbindung soll SSL verwenden” angeben.

 

   10.      Starten Sie den ICManager erneut, um sicherzustellen, dass die Änderungen in Kraft treten.