Verwendung der Schlüsselspeicher

Bei der Verwendung der Schlüsselspeicher SAPSSLA.pse, SAPSSLC.pse und SAPSSLS.pse müssen Sie Folgendes beachten:

• Schlüsselspeicher SAPSSLS.pse in SECUDIR

  Es muss ein Schlüsselspeicher SAPSSLS.pse in dem Verzeichnis existieren, das Sie unter der Umgebungsvariable SECUDIR definiert haben. Der Grund ist, dass die SAPCYPTOLIB (Library sapcrypto.dll (Windows) bzw. libsapcrypto.<ext> (UNIX)) nur dann initialisiert wird, wenn ein Schlüsselspeicher der Form SAPSSLS.pse existiert . Prüfen Sie also vor Konfiguration und Erstellung neuer Schlüsselspeicher die bereits vorhandenen Schlüsselspeicher und überzeugen Sie sich davon, ob ein Schlüsselspeicher der Form SAPSSLS.pse bereits vorhanden ist.

• Reihenfolge des Zugriffs

  Die SAPCRYPTOLIB greift in folgender Reihenfolge auf vorhandene Schlüsselspeicher zu:

   1. SAPSSLA.pse  2. SAPSSLC.pse  3. SAPSSLS.pse 

  Wenn diese Schlüsselspeicher vorhanden sind, müssen Sie Ihre Zertifikate in der folgenden Reihenfolge in die Schlüsselspeicher importieren:

  1. Importieren Sie das Zertifikat in den Schlüsselspeicher SAPSSLA.pse

  2. Importieren Sie das Zertifikat in den Schlüsselspeicher SAPSSLC.pse.

  3. Importieren Sie das Zertifikat in den Schlüsselspeicher SAPSSLS.pse

  Diese Reihenfolge gilt nur für die anonyme Client-Authentifikation, wie sie z.B. zwischen dem Portal-Web-Server und dem TREX-Präprozessor konfiguriert wird.

• Format

  Schreiben Sie beim Schlüsselspeicher den Namensteil, der sich vor dem Punkt befindet, immer in Großbuchstaben (z.B. SAPSSL.pse) und verwenden Sie für die Dateiendung Kleinbuchstaben (z.B. SAPSSL. pse).

• Initialisierung von Schlüsselspeichern/Zugriffsberechtigungen für Schlüsselspeicher/Erstellung aktiver Credentials

  Nachdem Sie den Schlüsselspeicher angelegt haben, müssen Sie ihn noch für die Verwendung initialisieren. Der Server muss über zur Laufzeit aktive Credentials verfügen. Um aktive Credentials zu erstellen, müssen Sie den Befehl seclogin des Konfigurationswerkzeugs verwenden, mit dem der Schlüsselspeicher des Servers geöffnet wird. Es ist außerdem sehr wichtig, dass Sie das Credential für den Benutzer anlegen, der den Prozess des Servers ausführt. So ist etwa typischerweise der Benutzer für einen TREX-Server <sapsid>adm (UNIX) oder SAPService<SAPSID> (Windows).

  Hinweis

  Die Credentials befinden sich in der Datei cred_v2 in dem Verzeichnis, das in der Umgebungsvariablen SECUDIR festgelegt ist. Stellen Sie sicher, dass ausschließlich der Benutzer, der den TREX-Service ausführt, auf diese Datei zugreifen kann (Lesezugriff eingeschlossen).

  Unter Windows müssen Sie zudem dem Betriebssystembenutzer <SAPSID>adm, der bei der TREX-Installation angelegt wurde, eine Zugangsberechtigung zu den Schlüsselspeichern geben, da er sonst nicht auf die Dateien zugreifen kann. Sie tun dies, indem Sie folgende Eingaben vornehmen:

  • Windows: sapgenpse seclogin -p SAPS <SLS_or_NCS> .pse -O SAPService<SAPSID>

  • UNIX: sapgenpse seclogin -p SAPS <SLS_or_NCS> .pse -O <SAPSID>adm

    Hinweis

    Während der Installation von TREX haben Sie unter Windows für jede TREX-Instanz einen eigenen Benutzer angelegt. Dieser Benutzer hat Zugriff auf alle Dateien und Verzeichnisse, die zur TREX-Instanz gehören. Die Angabe <instance_number> muss mit der Nummer der TREX-Instanz übereinstimmen, die Sie während der Installation angegeben haben.

    Befehl	Funktion
    seclogin	Funktion von SAPGENPSE, mit der Sie einen neuen Schlüsselspeicher für die Verwendung initialisieren.
    -p SAPSSLS.pse oder SAPSNCS.pse	Hier geben Sie den Dateinamen des Schlüsselspeichers an, den Sie initialisieren möchten.
    -O SAPService<SAPSID> oder <SAPSID>adm	Diesen Befehl verwenden Sie, um dem Benutzer SAPService <SAPSID> oder <SAPSID>adm Zugriff auf den Schlüsselspeicher zu geben. Der Betriebssystem-Benutzer SAPService<SAPSID> wurde bei der TREX-Installation angelegt.

• SAPGENPSE zur Verlängerung von abgelaufenen Zertifikaten

  Wenn die Gültigkeit des Zertifikats, dass Sie in einem Schlüsselspeicher abgelegt haben, ausläuft, können Sie SAPGENPSE zur Verlängerung verwenden.

  Sie tun dies, indem Sie folgende Eingaben vornehmen:

  sapgenpse gen_pse -onlyreq -p sapSSLS.pse -r certreq_pse.txt

  Befehl	Funktion
  gen_pse	SAPGENPSE-Funktion, mit der Sie eine Anforderung für eine Zertifikatsverlängerung für einen Schlüsselspeicher erzeugen, der in diesem Fall bereits vorhanden ist.
  - onlyreq	Erzeugt eine Zertifikatsanforderung für einen bereits vorhandenen Schlüsselspeicher.
  - p SAPSSLS.pse	Hier geben Sie den Datei-Namen des Schlüsselspeichers an, der das Zertifikat enthält, das Sie verlängern möchten.
  -r certreq_pse.txt	Erzeugt eine Zertifikatsanforderung für Ihre Zertifizierungsstelle (CA).

  Senden Sie die Zertifikatsanforderung certreq_pse.txt an Ihre CA.

  Wenn Sie von Ihrer CA eine Antwort in der Form certresp_pse.cer erhalten haben, importieren Sie das verlängerte Zertifikat über den folgenden SAPGENPSE-Befehl:

  sapgenpse import_own_cert -p sapSSLS.pse -c certresp_pse.cer

  Befehl	Funktion
  import_own_cert	Importiert die Antwort der CA auf eine Zertifikationsanforderung
  - p SAPSSLS.pse	Hier geben Sie den Datei-Namen des Schlüsselspeichers an, der das Zertifikat enthält, das Sie verlängern möchten.
  -c certresp_pse.cer	Dateiname , der das Zertifikat enthält, das von Ihrer CA verlängert wurde.

Sie können nun das Kryptographietool SAPGENPSE verwenden, um eine sichere Kommunikation zwischen TREX-Präprozessor und Portal-Web-Server sowie zwischen TREX-Web-Server und TREX-Name-Server zu konfigurieren.

Siehe:

• TREX-Präprozessor und Web-Server der Anwendung (HTTPS)

• TREX-Web-Server und TREX-Name-Server (HTTPS)

• SNC-Konfiguration auf dem TREX-Server

• Sicherheitsinformationen von TREX und Anwendung zusammenführen

• Zertifikat der Anwendung ex- und importieren

• TREX-Zertifikat ex- und importieren