SNC-Konfiguration auf dem TREX-Server

Verwendung

Sie konfigurieren die Secure Network Communication (SNC) auf dem TREX-Server mithilfe des Sicherheitskonfigurationstools SAPGENPSE. Sie verwenden SAPGENPSE, um den Schlüsselspeicher SAPSNCS.pse zu generieren, in welchem Sie Zertifikate ablegen können. Sie benötigen diesen Schlüsselspeicher zum Ablegen der Zertifikate der ABAP-Anwendung, die TREX verwendet. Es ist daher nicht notwendig, die erzeugte Zertifikatsanfrage an Ihre CA zu senden.

Voraussetzungen

Um SNC auf dem TREX-Server zu konfigurieren, müssen folgende Voraussetzungen gegeben sein:

Sie haben mit dem Sicherheitskonfigurationstool SAPGENPSE die SAP Cryptographic Library ( sapcrypto.dll/exe für Windows oder libsapcrypto.<ext> für UNIX) und das entsprechende Lizenzticket ( ticket) heruntergeladen.

Detaillierte Informationen finden Sie unter SAP Cryptographic Library herunterladen.
Sie haben das Sicherheitskonfigurationstool SAPGENPSE für die Verwendung konfiguriert. Richten Sie dazu die Umgebungsvariable SECUDIR ein (nur für Windows), und sichern Sie die heruntergeladenen Dateien in den empfohlenen Ablageorten.

Detaillierte Informationen finden Sie unter Konfiguration von SAPGENPSE für die Verwendung.

Vorgehensweise

Generieren des Schlüsselspeichers SAPSNCS.pse

Sie starten das Kryptographietool SAPGENPSEüber eine Eingabeaufforderung.

Führen Sie die ausführbare Datei sapgenpse in dem Verzeichnis aus, das Sie in der Umgebungsvariablen SECUDIR festgelegt haben. Das Kryptographietool SAPGENPSE generiert den Schlüsselspeicher und legt ihn in diesem Verzeichnis ab.

Generieren Sie einen neuen Schlüsselspeicher, indem Sie den folgenden Befehl eingeben:

sapgenpse gen_pse -p SAPSNCS.pse CN=<SID>-TRX<instanznummer>,O=<mycompany>,C=<mycountry>

Beispiel

sapgenpse gen_pse -p SAPSNCS.pse CN=ADS-TRX00,O=SAP,C=DE

Befehl	Funktion
`sapgenpse`	Startet das Kryptographietool SAPGENPSE.
`gen_pse`	Eine Funktion von SAPGENPSE, die Sie zum Generieren eines neuen Schlüsselspeichers verwenden können.
`-p SAPSNCS.pse`	Hier geben Sie den Dateinamen des Schlüsselspeichers an, der das Zertifikat enthält.

Sie werden nun nacheinander aufgefordert, nähere Angaben zu den Zertifikaten zu machen, die Sie erzeugen wollen. Gehen Sie dabei nach der folgenden Tabelle vor:

Prompt	Funktion/Eingabe
Please enter PIN:	Geben Sie keinen Wert ein. Bestätigen Sie mit der Eingabetaste.
Please reenter PIN:	Geben Sie keinen Wert ein. Bestätigen Sie mit der Eingabetaste.
get_pse: Distinguished name of PSE owner:	Angabe des Distinguished Name (DN) des Zertifikatsinhabers (owner). Folgende Angaben sind notwendig: `CN=myhost.mydomain, C=mycountry, O=mycompany` Beispiel `CN= ADS-TRX00, C=DE, S=BW, O=SAP`

Prompt

Funktion/Eingabe

Please enter PIN:

Geben Sie keinen Wert ein. Bestätigen Sie mit der Eingabetaste.

Please reenter PIN:

Geben Sie keinen Wert ein. Bestätigen Sie mit der Eingabetaste.

get_pse: Distinguished name of PSE owner:

Angabe des Distinguished Name (DN) des Zertifikatsinhabers (owner).

Folgende Angaben sind notwendig:

CN=myhost.mydomain, C=mycountry, O=mycompany

Beispiel

CN= ADS-TRX00, C=DE, S=BW, O=SAP

Nachdem Sie den Schlüsselspeicher angelegt haben, müssen Sie ihn noch für die Verwendung initialisieren. Der Server muss zur Laufzeit über aktive Credentials verfügen. Um aktive Credentials zu erstellen, müssen Sie den Befehl seclogin des Konfigurationstools verwenden, mit dem der Schlüsselspeicher des Servers geöffnet wird.

Es ist außerdem sehr wichtig, dass Sie das Credential für den Benutzer anlegen, der den Prozess des Servers ausführt. So ist etwa typischerweise der Benutzer für den TREX-Server <sapsid>adm (UNIX) oder SAPService<SAPSID> (Windows).

Hinweis

Die Credentials befinden sich in der Datei cred_v2 in dem Verzeichnis, das in der Umgebungsvariablen SECUDIR festgelegt ist. Stellen Sie sicher, dass ausschließlich der Benutzer, der den TREX-Service ausführt, auf diese Datei zugreifen kann (Lesezugriff eingeschlossen).

Unter Windows müssen Sie zudem dem Betriebssystembenutzer <SAPSID>adm, der bei der TREX-Installation angelegt wurde, eine Zugangsberechtigung zu den Schlüsselspeichern geben, da er sonst nicht auf die Dateien zugreifen kann. Sie führen beides durch, indem Sie den folgenden Befehl eingeben:

Windows: sapgenpse seclogin -p SAPSNCS.pse -O SAPService<SAPSID>

UNIX: sapgenpse seclogin -p SAPSNCS.pse -O <SAPSID>adm

Befehl	Funktion
`seclogin`	Eine Funktion von SAPGENPSE, mit der Sie einen neuen Schlüsselspeicher für die Verwendung initialisieren.
`-p SAPSNCS.pse`	Hier geben Sie den Dateinamen des Schlüsselspeichers an, den Sie initialisieren möchten.
`-O SAPService<SAPSID> oder <SAPSID>adm`	Diesen Befehl verwenden Sie, um dem Benutzer SAPService <SAPSID> oder <SAPSID>adm Zugriff auf den Schlüsselspeicher zu geben.

Ergebnis

Sie haben den Schlüsselspeicher SAPSNCS.pse angelegt, in den Sie das Zertifikat der ABAP-Anwendung, die TREX verwendet, importieren und ablegen können.