
Der Server hat ein Public-Key-Schlüsselpaar und -Zertifikat.
Das SSL-Protokoll verwendet Public-Key-Technologie. Daher muss der Server ein Public-Key-Schlüsselpaar sowie ein entsprechendes Public-Key-Zertifikat besitzen. Ein Schlüsselpaar und ein Zertifikat benötigt er, um sich als Serverkomponente auszuweisen, und ein weiteres Schlüsselpaar und Zertifikat benötigt er, um sich ggf. als Client-Komponente auszuweisen. Diese Schlüsselpaare und Zertifikate sind in den eigenen Persönlichen Sicherheitsumgebungen (Personal Security Environments; PSEs) des Servers abgelegt, in der SSL-Server-PSE bzw. der SSL-Client-PSE. (Weitere Informationen erhalten Sie unter Public-Key-Technologie.)
Sie haben die SAP Cryptographic Library heruntergeladen.
Weitere Informationen erhalten Sie unter Installationspaket der SAP Cryptographic Library.
Die Auslieferung der SAP Cryptographic Library unterliegt deutschen Exportvorschriften und steht nicht allen Kunden zur Verfügung. Außerdem kann die Bibliothek lokalen Vorschriften Ihres Landes unterliegen, die den Import, die Verwendung und den (Re-)Export kryptographischer Software weiter einschränken. Falls Sie hierzu weitere Fragen haben, wenden Sie sich an Ihre SAP-Tochterfirma vor Ort.
Mit dem Secure-Sockets-Layer-Protokoll (SSL-Protokoll) können Sie HTTP-Verbindungen zum und vom AS ABAP sicherer machen. Bei Verwendung von SSL werden die Daten zwischen den beiden Partnern (Client und Server) verschlüsselt übertragen und die beiden Partner können authentifiziert werden. Falls ein Benutzer z. B. seine Kontodaten übermitteln muss, können Sie mit SSL den Benutzer authentifizieren und die Daten während der Übertragung verschlüsseln.
Es stehen auch Vorlagen zur Verfügung, um einige der Konfigurationsaufgaben zu automatisieren und für die Validierung der Konfiguration. Weitere Informationen finden Sie unter http://service.sap.com instguides
.
Installieren Sie die SAP Cryptographic Library auf dem Anwendungsserver.
Weitere Informationen finden Sie unter SAP Cryptographic Library auf dem AS ABAP installieren.
Setzen Sie die Profilparameter.
Weitere Informationen finden Sie unter SNC-Profilparameter setzen.
Führen Sie folgende Schritte aus, um die SSL-Server-PSEs anzulegen und zu pflegen:
Legen Sie die SSL-Server-PSEs an.
Weitere Informationen finden Sie unter SSL-Server-PSE anlegen.
Erzeugen Sie für jede SSL-Server-PSE eine Zertifikatsanforderung.
Weitere Informationen finden Sie unter Zertifikatsanforderungen für die SSL-Server-PSEs erzeugen.
Senden Sie die Zertifikatsanforderungen zum Signieren an eine CA.
Weitere Informationen finden Sie unter Zertifikatsanforderungen an eine CA senden.
Importieren Sie die Zertifikatsantworten in die SSL-Server-PSEs des Servers.
Weitere Informationen finden Sie unter Zertifikatsantwort importieren.
Pflegen Sie die Zertifikatsliste der SSL-Server-PSE.
Weitere Informationen finden Sie unter Zertifikatsliste der SSL-Server-PSE pflegen.
Legen Sie die SSL-Client-PSEs wie folgt an:
Wiederholen Sie die Vorgehensweise zum Erzeugen der Standard-SSL-Client-PSE.
Weitere Informationen finden Sie unter Standard-SSL-Client-PSE anlegen.
Wenn der Anwendungsserver in der Lage sein soll, die anonyme Identität zur Kommunikation mit anderen Web-Servern zu verwenden, dann wiederholen Sie die Vorgehensweise zum Anlegen der anonymen SSL-Client-PSE.
Weitere Informationen finden Sie unter Anonyme SSL-Client-PSE anlegen.
Wenn der Anwendungsserver in der Lage sein soll, individuelle Identitäten zur Kommunikation mit anderen Web-Servern bei Verwendung von SSL zu benutzen, dann legen Sie einzelne SSL-Client-PSEs an.
Weitere Informationen finden Sie unter Eigene SSL-Server-PSE anlegen.
Definieren Sie die zu verwendende SSL-Client-PSE pro Verbindung wie folgt:
Definieren Sie in Transaktion SM59 die HTTP-Destinationen für den AS ABAP. In diesen Destinationen können Sie angeben, ob für die Verbindung SSL verwendet werden soll und welche SSL-Client-PSE der Server verwenden soll.
Weitere Informationen finden Sie unter "Verbindung soll SSL verwenden" angeben.
Wenn für die Konfiguration SSL mit gegenseitiger Authentifizierung verwendet werden soll, müssen Sie auch eine Zuordnung zwischen der im für die Verbindung verwendeten Client-Zertifikat vorgefundenen Identität und der für die Verbindung verwendeten Benutzerkennung pflegen. Pflegen Sie diese Zuordnung im Zielsystem in Tabelle USREXTID.
Weitere Informationen finden Sie unter Benutzerzuordnung für eingehende Verbindungen mit Authentifizierung pflegen.
Testen Sie die Verbindungen.
Weitere Informationen finden Sie unter SSL-Konfiguration testen.
Stellen Sie nach Beenden der Konfiguration sicher, dass auch anwendungs- oder szenariospezifische Konfigurationsänderungen vorgenommen werden. Beispiele zu eventuell aufzunehmenden notwendigen Änderungen:
In URLs oder anderen Parametern das Protokoll von HTTP auf HTTPS umstellen.
In URLs oder anderen Parametern den Hostnamen von einem Kurznamen auf einen vollqualifizierten Hostnamen umstellen
In URLs oder anderen Parametern den HTTP-Port auf den HTTPS-Zielport umstellen
Weitere Informationen finden Sie in der anwendungs- oder szenariospezifischen Konfigurationsdokumentation.
Weitere Informationen über das Umschalten von HTTP auf HTTPS in einer kompletten Landschaft finden Sie auch in SAP-Hinweis 1527879
.