TREX-Java-Client authentifizieren

Wenn der Java-Client im laufenden Betrieb einen Request an den Web-Server sendet, übermittelt er auch die öffentlichen Informationen seines Zertifikats. Anhand dieser Informationen kann der Web-Server den Java-Client authentifizieren.

Voraussetzung ist, dass Sie die Informationen aus dem Client-Zertifikat in die Konfigurationsdatei TREXcert.ini eintragen. Der Web-Server vergleicht die übermittelten Informationen mit den Informationen in der Konfigurationsdatei und leitet nur Requests von Clients weiter, die er kennt. Erhält der Web-Server einen Request von einem ihm unbekannten Client, weist er den Request zurück.

Sie können mehrere Client-Zertifikate in die Konfigurationsdatei eintragen. Dies ist u.a. dann sinnvoll, wenn mehrere Portale über eine sichere Kommunikation auf TREX zugreifen.

Aus Sicherheitsgründen sollten Sie die Konfigurationsdatei TREXcert.ini mit Betriebssystem-Mitteln schützen. Beispielsweise können Sie festlegen, dass nur bestimmte Benutzer die Datei lesen dürfen.

• Sie haben die Zertifikate für den Java-Client bereitgestellt (siehe Bereitstellen der Zertifikate für den Java-Client

• Starten Sie zur Vorbereitung den SAP NetWeaver Administrator und laden Sie den TREX-Schlüsselspeicher TREXKeyStore, der die Zertifikate für den Java-Client enthält.

1. Öffnen Sie auf dem TREX-Web-Server die Konfigurationsdatei <TREX_Verzeichnis>\TREXcert.ini mit einem Texteditor.

2. Ersetzen Sie in der Sektion [WEBSERVERCERTIFICATEnn] die Angabe nn durch 1, wenn Sie das erste Client-Zertifikat eintragen. Sie können beliebig viele Client-Zertifikate eintragen, die Sie fortlaufend nummerieren müssen.

   Beispiel

   [WEBSERVERCERTIFICATE1]

   subject=

   issuer=

3. Tragen Sie in den Parametern subject= und issuer= den Inhaber und Aussteller des Client-Zertifikats ein.

   Diese Informationen entnehmen Sie dem SAP NetWeaver Administrator:

   1. Starten Sie den SAP NetWeaver Administrator.

   2. Navigieren Sie zu  Configuration Management  Security Management  Key Storage .

      Im Bereich Content: Key Storage Views werden Ihnen die bereits angelegten Schlüsselspeicher und Zertifikate angezeigt.

   3. Suchen Sie den TREXKeyStore mithilfe der Filterfunktion und wählen Sie den Eintrag TREXKeyStore aus.

   4. Im Fenster Entries: Keystore Entries werden die Parameter des TREX-Schlüsselspeichers angezeigt.

      Die folgenden Informationen zum Subject name (Name des Inhabers) und Issuer name (Name des Ausstellers) werden im SAP NetWeaver Administrator angezeigt:

      Subject name: CN=myhost.mydomain, OU=mydepartment, O=mycompany, L=mycity, ST=mystate, C=mycountry, EMAIL=myaccount@mydomain

      Issuer name: CN=My Certificate Authority (CA), OU=Certificate Center, O=CA Company, L=CA City, ST=CA State, C=CA Country, EMAIL=caaccount@cacompany.com

   5. Markieren Sie die Angaben über Subject name und Issuer name und tragen Sie diese Informationen als subject (= Inhaber) und issuer (= Austeller) in die Konfigurationsdatei TREXcert.ini wie folgt ein:

      [WEBSERVERCERTIFICATE1]

      subject=CN=myhost.mydomain, OU=mydepartment, O=mycompany, L=mycity, ST=mystate, C=mycountry, EMail=myaccount@mydomain

      issuer=CN=My Certificate Authority (CA), OU=Certificate Center, O=CA Company, L=CA City, ST=CA State, C=CA Country, EMail=caaccount@ cacompany.com

4. Sichern Sie die Datei TREXcert.ini und beenden Sie den Editor.

5. Damit die Änderungen in der Konfigurationsdatei TREXCert.ini von TREX akzeptiert werden, müssen Sie abschließend TREX neu starten.

6. Starten Sie den TREX-Web-Server neu.

Sendet ein Client, der nicht in der Konfigurationsdatei TREXcert.ini eingetragen ist, einen Request an den Web-Server, wird der Request mit Status 403 (access denied) abgelehnt. Ebenso lehnt der Web-Server Requests in folgenden Fällen ab:

• Es wird kein Client-Zertifikat gesendet.

• Das gesendete Client-Zertifikat ist von einer CA ausgestellt, der der Web-Server nicht vertraut.

Siehe auch:

Fehler beheben