PSEs und Zertifikatsanforderungen
erzeugen
Verwendung
Wenn der SAP Web Dispatcher die SSL-Verbindung beenden soll, muss er ein Schlüsselpaar und ein Public-Key-Zertifikat haben, um die eingehende SSL-Verbindung zu benutzen. Diese Informationen werden in der SSL-Server-PSE des SAP Web Dispatcher abgelegt.
Falls dieser auch SSL als Verbindung zum Backend-Server verwendet, dann muss er ein Schlüsselpaar zum Gebrauch für diese Verbindung besitzen. Diese Information wird in seiner SSL Client PSE abgelegt. Auch wenn Sie dieselbe Datei für beide PSEs verwenden können, so nehmen wir in der Dokumentation auf beide Bezug.
Sie können die PSEs entweder mit dem Trust-Manager anlegen oder mit dem Konfigurationswerkzeug sapgenpse. Siehe nachfolgende Vorgehensweisen.
Wenn der SAP Web Dispatcher die SSL-Verbindung an den SAP Web Application Server weiterleiten soll, brauchen Sie diese Schritte nicht auszuführen.
Voraussetzungen
·
Wenn Sie die PSEs mit dem Trust-Manager
erzeugen, ist die SAP Cryptographic Library auf dem Anwendungsserver
installiert und die Umgebungsvariable SECUDIR ist auf das Verzeichnis gesetzt, in dem sich das Lizenzticket
befindet. (Siehe auch
SAP Cryptographic
Library auf dem SAP Web AS installieren.)
· Wenn Sie sapgenpse verwenden, ist die SAP Cryptographic Library auf dem SAP Web Dispatcher installiert und die Umgebungsvariable SECUDIR ist auf das Verzeichnis gesetzt, in dem sich das Lizenzticket befindet.
· Die Namenskonvention für den Distinguished Name des SAP Web Dispatcher ist Ihnen bekannt. Die Syntax des Distinguished Name hängt von der von Ihnen verwendeten CA ab.
Wenn Sie die SAP CA verwenden, ist die Namenskonvention z. B. CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE.
Vorgehensweise
PSEs des SAP Web Dispatcher mit dem Trust-Manager anlegen
Erstellung von SSL Server PSEs und SSL Client PSEs mit dem Trust Manager:
1. Starten Sie den Trust Manager (Transaktion STRUST).
2. Wählen Sie im Kontextmenü des Knotens Datei die Option Anlegen (RSA).
Bei SSL müssen Sie eine PSE anlegen, die ein RSA-Schlüsselpaar enthält. Wenn Sie Anlegen wählen, wird ein DSA-Schlüsselpaar angelegt, das nicht für SSL verwendet werden kann.
Sie gelangen auf das Dialogfenster zum Anlegen einer PSE.
3. Geben Sie in den entsprechenden Feldern die Teile des Distinguished Name gemäß Ihrer CA-Namenskonvention an.
Für die SSL Server PSE muss der Common-Name-Teil des Distinguished Name dem voll qualifizierten Hostnamen entsprechen, mit dem auf den Web Dispatcher zugegriffen wird.
Weitere Informationen darüber, wie
der Trust-Manager den Distinguished Name aus den Feldeingaben aufbaut,
erhalten Sie in der Trust-Manager-Dokumentation unter
PSE anlegen oder
ersetzen.
4. Sichern Sie die PSE in eine lokale Datei (z. B. in das Verzeichnis SECUDIR des Web Dispatcher). Verwenden Sie den Dateinamen, den Sie im Profilparameter ssl/server_pse und wdisp/ssl_cred für die SSL Server PSE und die SSL Client PSE angegeben haben.
Zertifikatsanforderung mit dem Trust-Manager anlegen
Nachdem Sie die PSE angelegt haben, müssen Sie eine entsprechende Zertifikatsanforderung anlegen. Dazu können Sie ebenfalls den Trust-Manager verwenden. Wenn Sie zwei PSEs im letzten Schritt angelegt haben, führen Sie nun die folgenden Schritte für jeden einzelnen der PSEs aus:
1. Markieren Sie den Knoten Datei per Doppelklick.
Sie gelangen auf das Dialogfenster Öffnen.
2. Markieren Sie die PSE, die Sie in der vorigen Vorgehensweise gesichert haben.
Das entsprechende Zertifikat wird im PSE-Pflege-Abschnitt im Feld Eigenes Zert. angezeigt.
3.
Wählen Sie im PSE-Pflege-Abschnitt 
Zertifikatsanforderung
erzeugen.
Sie gelangen auf ein Dialogfenster, das die Zertifikatsanforderung anzeigt.
4.
Markieren Sie den Inhalt der Anforderung und
kopieren Sie diese in die Zwischenablage (
Kopieren) oder
sichern Sie die Zertifikatsanforderung mit 
Als lokale Datei sichern
in eine Datei (<Dateiname>.P10).
PSEs und Zertifikatsanforderungen des SAP Web Dispatcher mit SAPGENPSE anlegen
Alternativ können Sie mit dem Konfigurationswerkzeug sapgenpse die PSEs des SAP Web Dispatcher anlegen.
Bevor Sie sapgenpse benutzen können, um die SSL-Server-PSE anzulegen, muss die Umgebungsvariable SECUDIR auf das Verzeichnis gesetzt sein, in dem sich das Lizenzticket befindet. Wenn die Umgebungsvariable noch nicht gesetzt ist, setzen Sie sie mit der nachfolgenden Befehlszeile.
set SECUDIR=<SECUDIR-Verzeichnis>
Mit dem nachfolgenden Befehl get_pse des Werkzeugs legen Sie die PSE des SAP Web Dispatcher.
sapgenpse get_pse <weitere Optionen> -p <PSE-Name> –r <ZertAnf.-Dateiname> -x <PIN> <Distinguished_Name>
Wobei:
Standardoptionen
|
Option |
Parameter |
Beschreibung |
Zulässige Werte |
Vorschlagswert |
|
-p |
<PSE-Name> |
Pfad und Dateiname der PSE. Wenn nicht der vollständige Pfad angegeben ist, wird die PSE-Datei im Verzeichnis SECUDIR angelegt. |
Der Dateiname muss dem Dateinamen entsprechen, der in Profilparameter ssl/server_pse und wdisp/ssl_cred für die SSL Server PSE und die SSL Client PSE entsprechend (z.B., SAPSSLS.pse or SAPSSLC.pse).. |
Keiner |
|
-r |
<Dateiname> |
Dateiname für die Zertifikatsanforderung |
Pfadbeschreibung (in Anführungszeichen, wenn Leerzeichen darin enthalten sind) |
stdout |
|
-x |
<PIN> |
PIN, die die PSE schützt |
Zeichenkette |
Keiner |
|
None |
<Distinguished Name> |
Der Distinguished Name des SAP Web Dispatcher |
Zeichenkette (in Anführungszeichen, wenn Leerzeichen darin enthalten sind) |
Keiner |
Weitere Optionen
|
Option |
Parameter |
Beschreibung |
Zulässige Werte |
Vorschlagswert |
|
-s |
<Schlüssellänge> |
Schlüssellänge |
512, 1024, 2048 |
1024 |
|
-a |
<Algorithmus> |
Verwendeter Algorithmus |
RSA, DAS |
RSA |
|
-noreq |
Keiner |
Erzeugt nur ein Schlüsselpaar und eine PSE. Legt keine Zertifikatsanforderung an. |
Nicht anwendbar |
Nicht eingestellt |
|
-only |
Keiner |
Erzeugt eine Zertifikatsanforderung für den öffentlichen Schlüssel, der in der durch den Parameter –p angegebenen PSE abgelegt ist. |
Nicht anwendbar |
Nicht eingestellt |
Mit der folgenden Befehlszeile wird die SSL-Server-PSE und die Zertifikatsanforderung des SAP Web Dispatcher unter Verwendung folgender Informationen angelegt:
· Die Umgebungsvariable SECUDIR ist auf C:\Program Files\SAP\SAPWebDisp\sec gesetzt.
· Die PSE befindet sich unter C:\Program Files\SAP\SAPWebDisp\sec\SAPSSLS.pse.
· Die PIN, die die PSE schützt, lautet abcpin..
· Der Name der Zertifikatsanforderung lautet abc.req.
· Auf den SAP Web Dispatcher wird mit dem voll qualifizierten Hostnamen host123.mycompany.com zugegriffen.
· Die verwendete CA ist die SAP CA.
· Daher lautet der Distinguished Name des Servers CN=host123.mycompany.com, OU=I1234567890-MyCompany, OU=SAP Web AS, O=SAP Trust Community, C=DE.
sapgenpse get_pse –p SAPSSLS.pse –x abcpin –r abc.req "CN=host123.mycompany.com, OU=I1234567890-MyCompany, OU=SAP Web AS, O=SAP Trust Community, C=DE"