Show TOC

Dokumentation zur VorgehensweiseSSL für den SAP-Host-Agenten auf Windows konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

In der folgenden Vorgehensweise gehen wir von der Annahme aus, dass Sie die Standardnamen für die Server-PSE verwenden. Wenn Sie den Standard-.pse-Namen überschreiben wollen, können Sie den folgenden Wert in der Profildatei des SAP-Host-Agenten (host_profile) verwenden:

ssl/server_pse= <Path to Server PSE>

Sie finden die Datei host_profile unter $DIR_EXECUTABLE, wobei $DIR_EXECUTABLE der Pfad zum Verzeichnis ist, in dem die ausführbaren Programme saphostcontrol und saphostexec des SAP-Host-Agenten abgelegt sind: <drive>:\usr\sap\hostctrl\exe

Vorgehensweise

  1. Bereiten Sie die Umgebung für die SAP Cryptographic Library vor:

    1. Öffnen Sie ein Eingabefenster für die Befehlszeile und wechseln Sie zum Verzeichnis %PROGRAM_FILES%\SAP\hostctrl\exe.

    2. Legen Sie ein Unterverzeichnis mit der Bezeichnug sec an und setzen Sie die Umgebungsvariable SECUDIR, um zum neuen Verzeichnis mithilfe der folgenden Befehle zu referenzieren:

      %PROGRAM_FILES%\SAP\hostctrl\exe>mkdir sec

      %PROGRAM_FILES%\SAP\hostctrl\exe>set SECUDIR=%PROGRAM_FILES%\SAP\hostctrl\exe\sec

      Hinweis Hinweis

      Sie können auch ein anderes Verzeichnis verwenden, aber in diesem Falle müssen Sie angeben, wo sich die PSE-Datei befindet und dafür den Parameter ssl/server_pse wie oben beschrieben verwenden.

      Ende des Hinweises.

      Empfehlung Empfehlung

      Setzen Sie SECUDIR als absoluten Pfad, um Konflikte mit dem Werkzeug sapgenpse zu vermeiden.

      Ende der Empfehlung.

    3. Stellen Sie sicher, dass die Dateien gelesen und von Benutzer sapadm ausgeführt werden können.

  2. Bereiten Sie die Personal Security Environment (PSE) für den Server vor:

    Die Server-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate sowie das Serverzertifikat, das an den Client gesendet wird, wenn die SSL-Verbindung hergestellt ist. Vertrauenswürdige Zertifikate können Zertifikate, die von der Certification Authority (CA) ausgestellt werden, oder individuell vertrauenswürdige Zertifikate sein.

    1. Legen Sie die Server-PSE und dort das Serverzertifikat sowie den Certificate Signing Request (CSR) an.

      Beispiel Beispiel

      %PROGRAM_FILES%\SAP\hostctrl\exe> sapgenpse gen_pse -p SAPSSLS.pse -x passwd1 -r myhost-csr.p10 "CN=myhost.wdf.sap.corp, O=SAP AG, C=DE”

      Dieser Befehl legt eine PSE-Datei namens SAPSSLS.pse (Name ist ein Festwert) an, die für die Authentifizierung von myhost.wdf.sap.corp für eingehende SSL-Verbindungen verwendet werden kann. Der Zugriff auf die PSE-Datei wird mit passwd1 geschützt. Verwenden Sie die Option -r, um die Zertifikatsanforderung an eine Datei zu leiten oder verwenden Sie sie nicht, wenn Sie den CSR mithilfe von Copy&Paste in ein Web-Formular einfügen wollen.

      Ende des Beispiels.

    2. Gewähren Sie dem SAP-Host-Agenten Zugriff auf die Server-PSE.

      Beispiel Beispiel

      %PROGRAM_FILES%\SAP\hostctrl\exe> sapgenpse seclogin -p SAPSSLS.pse -x passwd1 -o sapadm

      Ende des Beispiels.

    3. Rufen Sie das Zertifikat auf die folgende Weise ab:

      1. Wenn Sie keine individuell vertrauenswürdige Zertifikate verwenden, senden Sie die Zertifikatsanforderung an eine entsprechende CA.

      2. Kopieren Sie das signierte Zertifikat aus dem Ausgabebereich - einschließlich der Zeilen "---- BEGIN CERTIFICATE ----" und "---- END CERTIFICATE ----" - und fügen Sie es in eine Textdatei ein, beispielsweise myhost.p7b.

    4. Importieren Sie das signierte Zertifikat in die Server-PSE.

      Beispiel Beispiel

      %PROGRAM_FILES%\SAP\hostctrl\exe> sapgenpse import_own_cert -p SAPSSLS.pse -x passwd1 -c myhost.p7b (wenn das verwendete Format PKCS#7 ist).

      Ende des Beispiels.

    5. Prüfen Sie die Server-Zertifikatskette.

      Beispiel Beispiel

      %PROGRAM_FILES%\SAP\hostctrl\exe> sapgenpse get_my_name -p SAPSSLS.pse -x passwd1 -v

      Ende des Beispiels.

  3. Starten Sie den SAP-Host-Agenten erneut.

  4. Bereiten Sie die Personal Security Environment (PSE) für den Client vor:

    Die Client-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate sowie das Client-Zertifikat, das an den SAP-Host-Agenten gesendet wird, wenn die SSL-Verbindung hergestellt ist. Für den Client müssen vertrauenswürdige Zertifikate ausschließlich Zertifikate sein, die von der Certification Authority (CA) ausgestellt werden.

    Die Konfigurationsschritte sind Client-spezifisch. Aus diesem Grund beschreiben wir sie auf generische Weise. Folgen Sie den Anweisungen in der entsprechenden Client-Dokumentation.

    Beispiele für mögliche Clients sind die SAP Management Console (SAP MC), der Diagnostics-Agent im SAP Solution Manager oder die Software des SAP NetWeaver Landscape Virtualization Management (LVM) (vormals Adaptive Computing Controller (ACC)).

Ergebnis

Empfehlung Empfehlung

Wenn Sie die oben stehende Vorgehensweise erfolgreich angewendet haben, ist der SAP-Host-Agent auch für den Port 1129 für die SSL-Kommunikation verwendbar.

Ende der Empfehlung.