SSL-Parameter für den Web Dispatcher
Folgende Parameter des SAP Web Dispatchers sind für den Betrieb mit SSL relevant.
Weitere Informationen dazu finden Sie unter SAP Web Dispatcher und SSL.
Die Beschreibung der anderen Profilparameter des SAP Web Dispatchers finden Sie unter Parametrisierung des SAP Web Dispatchers.
|
Parameter |
Bedeutung |
Einheit |
Default-Wert |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
wdisp/HTTPS/ dest_logon_group |
Hinweis
Der Parameter ist nur bei Verwendung von End-to-End SSL relevant! Dieser Parameter bestimmt die Logon-Gruppe für das Loadbalancing von Requests am SAP Web Dispatcher. Ist eine Logon-Gruppe definiert, werden die Requests nur zu Servern in dieser Gruppe geleitet, ist keine Gruppe definiert, können die Requests zu allen Servern des Systems geleitet werden. |
Logongruppenname |
|||||||||||||
|
wdisp/HTTPS/ sticky_mask |
Hinweis
Der Parameter ist nur bei Verwendung von End-to-End SSL relevant! Dieser Parameter beschreibt eine Bitmaske für Client-IP-Adressen. Die IP-Adresse eines Clients, die sich mit dem Web Dispatcher verbinden, wird mit dieser Bitmaske verknüpft (AND) und das Ergebnis wird für das Loadbalancing von Clients benutzt. Damit können Gruppen von Client-IP-Adressen zusammengefasst werden. Diese Funktionalität wird benötigt, weil große Internet Provider mehrere Proxies (mit unterschiedlichen IP-Adressen) benutzen, die Clients aber gleich behandelt werden müssen. Für Anwendungen mit einem Zustand im Server ( „stateful“ Applikationen) ist dies unerlässlich. |
Zeichenkette |
255.255.240.0 Dadurch sind die letzten 12 Bit der Client IP-Adresse nicht mehr signifikant (werden nicht unterschieden). |
||||||||||||
|
wdisp/HTTPS/ max_client_ip_entries |
Hinweis
Der Parameter ist nur bei Verwendung von End-to-End SSL relevant! Dieser Parameter spezifiziert die maximale Anzahl an Einträgen in der Abbildungstabelle zwischen Client-IP-Adresse und Applikationsserver. Der Speicher für die Abbildungstabelle wird im Shared Memory des Rechners angelegt. Beispiel
Die folgende Tabelle gibt Beispiele für den Speicherbedarf bei bestimmten Einstellungen an.
|
Anzahl Einträge (Integerwert) |
50000 |
||||||||||||
|
wdisp/HTTPS/ context_timeout |
Dieser Parameter gibt den Timeout für Einträge in der Client-IP-Tabelle in Sekunden an (Default 3600). Ein Eintrag wird aus der Tabelle gelöscht, wenn innerhalb der angegebenen Zeitspanne kein Request von dieser Client IP Adresse angekommen ist. Achtung
Der Wert dieses Parameters muss größer sein als der Session-Timeout des Applikationsservers. Dieser hängt davon ab, ob es sich um einen ABAP- oder Java- Request handelt.
|
Sekunden |
3600 |
||||||||||||
|
wdisp/HTTPS/ max_pooled_con |
Dieser Parameter ist analog zu wdisp/HTTP/max_pooled_con, allerdings für HTTPS-Verbindungen. Hinweis
Relevant ist hierbei, welches Protokoll vom SAP Web Dispatcher zum Applikationsserver gesprochen wird. Empfehlung
Die Default-Einstellung muss normalerweise nicht geändert werden! |
Anzahl Verbindungen |
32768 |
||||||||||||
|
wdisp/HTTPS/ min_pooled_con |
Dieser Parameter ist analog zu wdisp/HTTP/min_pooled_con, allerdings für HTTPS-Verbindungen. Hinweis
Relevant ist hierbei, welches Protokoll vom SAP Web Dispatcher zum SAP NetWeaver AS gesprochen wird. Achtung
Da für jede HTTPS-Verbindung im Pool auf der Seite des SAP NetWeaver AS ein Thread im ICM blockiert wird, sollte der Default-Wert von 0 nicht verändert werden! |
Anzahl Verbindungen |
0 |
||||||||||||
|
wdisp/ssl_encrypt |
Dieser Parameter legt fest, wie der SAP Web Dispatcher mit eingehenden HTTP(S)-Requests verfährt. Folgende Werte sind möglich: 0: Request unverschlüsselt weitergeben. 1: Request wieder SSL-verschlüsseln, falls der Request über das HTTPS-Protokoll hereinkam. 2: auf jeden Fall wieder SSL-verschlüsselt weitergeben. Sie können den SAP Web Dispatcher auch für End-to-End SSL konfigurieren, indem Sie bei der Einstellung von icm/server_port_<xx> das Protokoll ROUTER angeben. |
ganze Zahl (0, 1 oder 2) |
0 |
||||||||||||
|
wdisp/ssl_auth |
Dieser Parameter legt fest, welches X.509 Client-Zertifikat der SAP Web Dispatcher gegenüber den Applikationsservern verwenden soll. Folgende Werte sind möglich: 0: kein Zertifikat 1: Default-Zertifikat 2: Zertifikat verwenden, das durch den Parameter wdisp/ssl_cred angegeben wird. |
ganze Zahl (0, 1 oder 2) |
0 |
||||||||||||
|
wdisp/ssl_cred |
Name der PSE-Datei, die zur Authentifizierung beim Server benutzt wird; diese Option ist nur bei wdisp/ssl_auth =2 relevant! |
Dateiname / Pfadname (entsprechend Betriebssystem-Konvention) |
|||||||||||||
|
wdisp/ssl_certhost |
Dieser Parameter ist nur relevant, wenn Sie eine Kommunikation mit SSL konfiguriert haben, also entweder die Kommunikation zum Message-Server ( wdisp/server_info_protocol = https), zu den Applikationsservern ( wdisp/group_info_protocol=https oder wdisp/url_map_protocol=https, vgl. Metadatenaustausch über SSL einrichten) oder bei SSL-Terminierung ( wdisp/ssl_encrypt = 1 oder 2). Wenn wdisp/ssl_certhost dann nicht gesetzt ist, muss für jeden Applikationsserver ein Server-Zertifikat auf den entsprechenden Rechnernamen ausgestellt werden. Mit diesem Parameter können Sie einen Rechner angeben, auf dessen Namen das Server-Zertifikat ausgestellt ist. Sie müssen dann nicht jeden Applikationsserver mit einem Zertifikat ausstatten. Beispiel
Ihr Serverzertifikat ist auf den Namen www.sap.com ausgestellt. Dieses Zertifikat aktivieren Sie für alle Applikationsserver in der Transaktion STRUST. Außerdem stellen Sie den Wert von wdisp/ssl_certhost auf www.sap.com. Wird dieser Parameter nicht gesetzt, müssen die Rechnernamen am Message-Server (Transaktion SMLG) und die Namen, auf die die Zertifikate ausgestellt sind, übereinstimmen. |
Rechnername |
|||||||||||||
|
wdisp/ssl_ignore_ host_mismatch |
Wird zwischen Web Dispatcher und Applikationsserver die Verbindung mit SSL wiederverschlüsselt ( wdisp/ssl_encrypt =1), muss der Server beim Verbindungsaufbau ein SSL-Server-Zertifikat vorweisen. Wenn der Rechnername im Zertifikat nicht mit dem Servernamen übereinstimmt (Zeichen für Zeichen, aber ohne Berücksichtigung von Groß- und Kleinschreibung), mit dem sich der Web Dispatcher verbindet, kommt keine SSL-Verbindung zustande. Beispiel
Das Zertifikat ist ausgestellt auf sdm.int.sap.com, der Applikationsserver läuft aber auf dem internen Rechner mit dem Namen ld5000.wdf.sap.corp (und ist auch mit diesem Namen am Message-Server angemeldet). Ist dieser Parameter nun auf 1 oder TRUE gesetzt, ignoriert der Web Dispatcher die fehlende Übereinstimmung von Server-Zertifikat und Server-Rechnername und benutzt diese neu geöffnete SSL-Verbindung zwischen Web Dispatcher und Server zur Kommunikation. |
Wahrheitswert (TRUE, FALSE, 1, 0) |
FALSE |
SSL-(Wieder-)Verschlüsselung: Connection Pooling
Zur Performance-Steigerung bei SSL-(Wieder-)Verschlüsselung kann es sinnvoll sein, mit der Parametereinstellung wdisp/HTTP/use_pool_for_new_conn = 1 das Connection Pooling zu aktivieren.