Show TOC

Dokumentation zur VorgehensweiseSSL für den SAP-Host-Agenten auf UNIX konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

In der folgenden Vorgehensweise gehen wir von der Annahme aus, dass Sie die Standardnamen für die Server-PSE verwenden. Wenn Sie den Standard-.pse-Namen überschreiben wollen, können Sie den folgenden Wert in der Profildatei des SAP-Host-Agenten (host_profile) verwenden:

ssl/server_pse= <Path to Server PSE>

Sie finden die Datei host_profile unter $DIR_EXECUTABLE, wobei $DIR_EXECUTABLE der Pfad zum Verzeichnis ist, in dem die ausführbaren Programme saphostcontrol und saphostexec des SAP-Host-Agenten abgelegt sind: /usr/sap/hostctrl/exe

Voraussetzungen

Sie sind als ein Benutzer mit der root-Berechtigung angemeldet.

Vorgehensweise

  1. Bereiten Sie die Personal Security Environment (PSE) für den Server vor:

    Die Server-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate sowie das Serverzertifikat, das an den Client gesendet wird, wenn die SSL-Verbindung hergestellt ist. Vertrauenswürdige Zertifikate können Zertifikate, die von der Certification Authority (CA) ausgestellt werden, oder individuell vertrauenswürdige Zertifikate sein.

    Gehen Sie folgendermaßen vor:

    1. Legen Sie ein Verzeichnis /usr/sap/hostctrl/exe/sec mithilfe des Befehls mkdir an:

      Hinweis Hinweis

      Sie können auch ein anderes Verzeichnis verwenden, aber in diesem Falle müssen Sie angeben, wo sich die PSE-Datei befindet und dafür den Parameter ssl/server_pse wie oben beschrieben verwenden. In der folgenden Vorgehensweise verwenden wir der Einfachheit halber immer das Verzeichnis sec.

      Ende des Hinweises.

    2. Weisen Sie die Eigentümerrechte für das Verzeichnis sec sapadm:sapsys zu.

    3. Melden Sie sich nun als Benutzer sapadm an, bevor Sie die folgenden Befehle ausführen, damit die angelegten Dateien diesem Benutzer gehören.

    4. Richten Sie den Suchpfad für die Shared Library (LD_LIBRARY_PATH, LIBPATH oder SHLIB_PATH) und die SECUDIR-Umgebungsvariablen ein und wechseln Sie zum Verzeichnis exe des SAP-Host-Agenten.

      Beispiel Beispiel

      • Auf Linux und Solaris sind die erforderlichen Befehle:

        export LD_LIBRARY_PATH=/usr/sap/hostctrl/exe/

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      • Auf HP-UX sind die erforderlichen Befehle:

        export SHLIB_PATH=/usr/sap/hostctrl/exe/

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      • Auf AIX sind die erforderlichen Befehle:

        export LIBPATH=/usr/sap/hostctrl/exe

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      Ende des Beispiels.

      Empfehlung Empfehlung

      Setzen Sie SECUDIR als absoluten Pfad, um Konflikte mit dem Werkzeug sapgenpse zu vermeiden.

      Ende der Empfehlung.

    5. Legen Sie die Server-PSE und dort das Serverzertifikat sowie den Certificate Signing Request (CSR) an.

      Führen Sie den Befehl als Benutzer sapadm aus, damit die angelegten Dateien diesem Benutzer gehören.

      Beispiel Beispiel

      ./sapgenpse gen_pse -p SAPSSLS.pse -x password -r /tmp/myhost-csr.p10 "CN=myhost.wdf.sap.corp, O=SAP AG, C=DE"

      Dieser Befehl legt eine PSE-Datei namens SAPSSLS.pse (Name ist ein Festwert) an, die für die Authentifizierung von myhost.wdf.sap.corp für eingehende SSL-Verbindungen verwendet werden kann. Der Zugriff auf die PSE-Datei wird mit einem Kennwort geschützt. Verwenden Sie die Option -r, um die Zertifikatsanforderung an eine Datei zu leiten oder verwenden Sie sie nicht, wenn Sie den CSR mithilfe von Copy&Paste in ein Web-Formular einfügen wollen.

      Ende des Beispiels.

    6. Gewähren Sie dem SAP-Host-Agenten Zugriff auf die Server-PSE.

      Beispiel Beispiel

      ./sapgenpse seclogin -p SAPSSLS.pse -x password -O sapadm

      Ende des Beispiels.

    7. Rufen Sie das Zertifikat auf die folgende Weise ab:

      1. Senden Sie die Zertifikatsanforderung an eine entsprechende CA.

      2. Kopieren Sie das signierte Zertifikat aus dem Ausgabebereich - einschließlich der Zeilen "---- BEGIN CERTIFICATE ----" und "---- END CERTIFICATE ----" - und fügen Sie es in eine Textdatei ein.

        Beispiel Beispiel

        Wenn das verwendete Format PKCS#7 ist, kann die Textdatei beispielsweise myhost.p7b genannt werden. Wir verwenden diesen Dateinamen in den folgenden Beispielen:

        Ende des Beispiels.

    8. Importieren Sie das signierte Zertifikat in die Server-PSE.

      Beispiel Beispiel

      ./sapgenpse import_own_cert -p SAPSSLS.pse -x password -c /tmp/myhost.p7b

      Ende des Beispiels.

    9. Prüfen Sie die Server-Zertifikatskette.

      Beispiel Beispiel

      ./sapgenpse get_my_name -p SAPSSLS.pse -x passwd -v

      Ende des Beispiels.

  2. Starten Sie den SAP-Host-Agenten erneut.

  3. Bereiten Sie die Client-PSE vor.

    Die Client-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate von der CA sowie das Client-Zertifikat, das an den SAP-Host-Agenten gesendet wird, wenn die SSL-Verbindung hergestellt ist.

    Die Konfigurationsschritte sind Client-spezifisch. Aus diesem Grund beschreiben wir sie auf generische Weise. Folgen Sie den Anweisungen in der entsprechenden Client-Dokumentation.

    Beispiele für mögliche Clients sind die SAP Management Console (SAP MC), der Diagnostics-Agent im SAP Solution Manager oder die Software des SAP NetWeaver Landscape Virtualization Management (LVM) (vormals Adaptive Computing Controller (ACC)).

Ergebnis

Empfehlung Empfehlung

Wenn Sie die oben stehende Vorgehensweise erfolgreich angewendet haben, ist der SAP-Host-Agent auch für den Port 1129 für die SSL-Kommunikation verwendbar.

Ende der Empfehlung.