Show TOC

ICM-Parameter für die Verwendung von SSL konfigurierenLocate this document in the navigation structure

Verwendung

Sie können diese Vorgehensweise für die Konfiguration der erforderlichen ICM-Parameter verwenden, um die Verwendung von SSL für den Zugriff auf den AS Java zu aktivieren.

SSL wird für folgende Protokolle unterstützt:

Protokoll Sicherheitsprotokoll

HTTP

HTTPS

IIOP

IIOPSEC

P4

P4SEC
Hinweis

Der Server verwendet dasselbe Schlüsselpaar und dieselben SSL-Zertifikate für alle Protokolle.

Protokoll- und Port-Informationen sind im ICM-Parameter icm/server_port_<xx> festgelegt, wobei <xx> eine fortlaufende Nummer ist. Wenn Sie den Port für HTTPS einstellen, stellen Sie sicher, eine noch nicht verwendete Nummer zu wählen.

Voraussetzungen
  • Sie haben auf BS-Ebene die Zugriffsberechtigung für das Dateisystem des AS-Java-Hosts.
  • Die SAP Cryptographic Library ist installiert und Sie kennen deren Speicherort.
  • Sie kennen die für Parameter icm/server_port_<xx> einzusetzende fortlaufende Nummer.

    Um die Parametereinstellungen zu prüfen, können Sie den ICM Monitor oder die Web-Administrationsoberfläche einsetzen.

Vorgehensweise

Konfiguration aus Dateiname des Instanzprofils

  1. Öffnen Sie mit einem Texteditor das Instanzprofil des ICM für den AS Java.

    Sie finden das Instanzprofil an folgendem Speicherort des AS-Java-Host-Dateisystems: /usr/sap/<SID>/SYS/profile. Das Profil trägt den Namen <SID>_<instance>_<hostname>.

  2. Setzen Sie den zu verwendenden HTTPS-Port im ICM-Parameter icm/server_port_<xx>. Um den Speicherort der SAP Cryptographic Library explizit anzugeben (beispielsweise, wenn sich diese nicht am von Parameter $(DIR_LIBRARY) festgelegten Standardverzeichnis befindet), setzen Sie den Parameter ssl/ssl_lib. Beispiel siehe unten.
    Tipp 
    # SSL Configuration: Location of the SAP Cyrptographic Library
ssl/ssl_lib = <Location of the SAP Cryptographic Library>
# <protocol> port configuration
icm/server_port_<xx> = PROT=<protocol>, PORT=5$(SAPSYSTEM)01[, VCLIENT=<0,1,2>]
    Hinweis

    Um einen anderen Port für die HTTPS-Kommunikation festzulegen, legen Sie den gewünschten Port in Parameter PORT= fest.

    Um auch das Server-Verhalten bei der Verwendung von Zertifikaten für die Client-Authentifizierung festzulegen, setzen Sie den entsprechenden Wert in Parameter VCLIENT=:

    • 0: Kein Zertifikat benötigt. Server fordert keines an.
    • 1: Server fordert den Client zur Übermittlung eines Zertifikates auf. Sendet der Client kein Zertifikat, wird die Authentifizierung auf eine andere Art, beispielsweise als Standardauthentifizierung, durchgeführt (Standardeinstellung).
    • 2: Client muss gültiges Zertifikat an Server übermitteln; andernfalls wird Zugriff verweigert.

    Weiterhin bestehen zusätzliche, optionale Parameter. Um beispielsweise Port-spezifische SSL-Konfigurationen vorzunehmen, verwenden Sie Parameter icm/ssl_config_<xx>. Weitere Informationen finden Sie unter icm/server_port_<xx>.

    Beispiel siehe unten.

  3. Um die Parametereinstellungen zu aktivieren, Starten Sie den ICM erneut.
Ergebnis

Wenn Sie die ICM-Instanz neu gestartet haben, erscheint die HTTPS-Port-Konfiguration unter Aktive Services für den ICM.

Beispiel

Das folgende Beispiel zeigt einen Auszug aus einem ICM-Instanzprofil mit SSL- und HTTPS-Port-Konfiguration.

...
# SSL Configuration: Location of the SAP Cryptographic Library
ssl/ssl_lib = $(DIR_EXECUTABLE)/libsapcrypto.so
# https port configuration
icm/server_port_4 = PROT=HTTPS, PORT=5$(SAPSYSTEM)01, VCLIENT=1
...

Siehe auch: