Show TOC

PSEs und Zertifikatsanforderungen anlegenLocate this document in the navigation structure

Verwendung

Wenn der SAP Web Dispatcher eine eingehende Verbindungsanfrage beenden oder verschlüsseln soll, dann braucht er ein Schlüsselpaar und ein Public-Key-Zertifikat, die er für die eingehende SSL-Verbindung verwendet. Diese Informationen befinden sich in der SSL-Server-PSE des SAP Web Dispatcher.

Wenn er auch für die Verbindung zum Backend-Server SSL verwendet (Wiederverschlüsselung), dann benötigt er auch für diese Verbindung ein Schlüsselpaar. Diese Informationen befinden sich in seiner SSL-Client-PSE. Obwohl Sie dieselbe Datei für beide diese PSEs verwenden können, beschreiben wir sie in der Dokumentation separat.

Sie können entweder den Trust-Manager auf dem AS ABAP verwenden, um die PSEs anzulegen, oder Sie können das Konfigurationswerkzeug sapgenpse verwenden. Siehe nachfolgende Vorgehensweisen.

Wenn der SAP Web Dispatcher die SSL-Verbindung an den Backend-Anwendungsserver weiterleiten soll, müssen Sie diese Schritte ausführen.

Voraussetzungen

  • Wenn Sie die PSE mit dem Trust-Manager anlegen, dann ist die SAP Cryptographic Library auf dem Anwendungsserver installiert und die Umgebungsvariable SECUDIR ist auf das Verzeichnis gesetzt, in dem sich das Lizenzticket befindet. (Weitere Informationen finden Sie unter SAP Cryptographic Library auf dem AS ABAP installieren.)

  • Wenn Sie sapgenpse verwenden, dann ist die SAP Cryptographic Library auf dem SAP Web Dispatcher installiert und die Umgebungsvariable SECUDIR ist auf das Verzeichnis gesetzt, in dem sich das Lizenzticket befindet.

  • Ihnen ist die für den Distinguished Name des SAP Web Dispatcher zu verwendende Namenskonvention bekannt. Die Syntax des Distinguished Name hängt von der von Ihnen verwendeten Certification Authority (CA) ab.

Beispiel

Wenn Sie z.B. die SAP CA verwenden, lautet die Namenskonvention CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE.

Vorgehensweise

Sie können die PSE und die Zertifikatsanforderungen entweder mit dem Befehlszeilenwerkzeug sapgenpse oder dem Trust-Manager anlegen. Die Vorgehensweisen für jeden Fall sind unten beschrieben.

PSEs und Zertifikatsanforderungen des SAP Web Dispatcher mit SAPGENPSE anlegen

  1. Bevor Sie mit sapgenpse die SSL-Server-PSE anlegen können, muss die Umgebungsvariable SECUDIR auf das Verzeichnis gesetzt sein, in dem sich das Lizenzticket befindet. Falls die Umgebungsvariable nicht bereits gesetzt ist, setzen Sie diese mit folgender Befehlszeile.

    set SECUDIR=<SECUDIR-Verzeichnis>

  2. Verwenden Sie den Werkzeugbefehl get_pse wie unten gezeigt, um die PSE des SAP Web Dispatcher anzulegen.

    sapgenpse get_pse <weitere_Optionen> -p <PSE-Name> -r <Zert_Anf_Dateiname> -x <PIN> <Distinguished_Name>

    Wobei die Optionen folgende Bedeutung haben:

Option

Parameter

Beschreibung

Zulässige Werte

Vorschlagswert

-p

<PSE-Name>

Pfad und Dateiname der PSE.

Falls nicht der vollständige Pfad angegeben ist, dann wird die PSE-Datei im Verzeichnis SECUDIR angelegt.

Bei der SSL-Server-PSE muss der Dateiname dem Dateinamen entsprechen, den Sie in Profilparameter ssl/server_pse angegeben haben.

Bei der SSL-Client-PSE muss der Dateiname dem Namen entsprechen, den Sie in Profilparameter ssl/client_pse (oder wdisp/ssl_cred, falls wdisp/ssl_auth= 2) angegeben haben.

Beispiele: SAPSSLS.pse oder SAPSSLC.pse)

keine

-r

<Dateiname>

Dateiname für die Zertifikatsanforderung

Pfadbeschreibung (in Anführungszeichen, falls sie Leerzeichen enthält)

stdout

-x

<PIN>

PIN, die die PSE schützt

Zeichenkette

keine

keine

<Distinguished_Name>

Der Distinguished Name des SAP Web Dispatcher

Zeichenkette (in Anführungszeichen, falls sie Leerzeichen enthält)

keine
Hinweis

Weitere Informationen über Profilparametereinstellungen finden Sie unter Für SSL relevante Profilparameter beim SAP Web Dispatcher einstellen.

Option

Parameter

Beschreibung

Zulässige Werte

Vorschlagswert

-s

<Schlüssellänge>

Schlüssellänge

512, 1024, 2048

1024

-a

<Algorithmus>

Verwendeter Algorithmus

RSA, DSA

RSA

-noreq

keine

Erzeugt nur ein Schlüsselpaar und eine PSE. Legt keine Zertifikatsanforderung an

nicht relevant

nicht eingestellt

-only req

keine

Erzeugt eine Zertifikatsanforderung für den öffentlichen Schlüssel der in der durch Parameter -p angegebenen PSE abgelegt wird

nicht relevant

nicht eingestellt
Beispiel

Folgende Befehlszeile legt die SSL-Server-PSE und die Zertifikatsanforderung des SAP Web Dispatcher unter Verwendung folgender Informationen an:

  • Die Umgebungsvariable SECUDIR ist auf C:\Program Files\ SAP\ SAPWebDisp\ sec gesetzt.

  • Die PSE befindet sich in C:\Program Files\ SAP\ SAPWebDisp\ sec\ SAPSSLS.pse.

  • Die PIN, mit der die PSE geschützt ist, lautet abcpin.

  • Der Name der Zertifikatsanforderungsdatei lautet abc.req.

  • Auf den SAP Web Dispatcher wird mit dem voll qualifizierten Hostnamen host123.mycompany.com zugegriffen.

  • Die verwendete CA ist die SAP CA.

  • Daher lautet der Distinguished Name des Servers CN=host123.mycompany.com, OU=I1234567890-MyCompany, OU=SAP Web AS, O=SAP Trust Community, C=DE.

Die Befehlszeile, die die entsprechende SSL-Server-PSE und die Zertifikatsanforderung anlegt, ist

sapgenpse get_pse -p SAPSSLS.pse -x abcpin -r abc.req "CN=host123.mycompany.com, OU=I1234567890-MyCompany, OU=SAP Web AS, O=SAP Trust Community, C=DE"

PSEs des SAP Web Dispatcher mit dem Trust-Manager anlegen

  1. Starten Sie den Trust-Manager (Transaktion STRUST).

  2. Öffnen Sie das Kontextmenü des Knotens Datei, und wählen Sie Anlegen (RSA).

    Achtung

    Bei SSL müssen Sie eine PSE anlegen, die ein RSA-Schlüsselpaar enthält. Wenn Sie Anlegen wählen, legt der Trust-Manager ein DSA-Schlüsselpaar an, das nicht für SSL verwendet werden kann.

    Sie gelangen auf das Dialogfenster PSE anlegen.

  3. Geben Sie die Teile des Distinguished Name gemäß der Namenskonvention Ihrer CA in den entsprechenden Feldern an.

    Hinweis

    Bei der SSL-Server-PSE muss der Common-Name-Teil des Distinguished Name dem voll qualifizierten Hostnamen entsprechen, mit dem auf den SAP Web Dispatcher zugegriffen wird.

    Weitere Informationen darüber, wie der Trust-Manager den Distinguished Name aus den Feldeinträgen aufbaut, finden Sie in der Trust-Manager-Dokumentation unter PSE anlegen oder ersetzen.

  4. Sichern Sie die PSE als lokale Datei (z.B. Verzeichnis des SAP Web Dispatcher SECUDIR).

    Stellen Sie bei der SSL-Server-PSE sicher, dass Sie denselben Dateinamen angeben wie in Profilparameter ssl/server_pse.

    Bei der SSL-Client-PSE muss der Dateiname dem Namen entsprechen, den Sie in Profilparameter ssl/client_pse (oder wdisp/ssl_cred, falls wdisp/ssl_auth= 2) angegeben haben.

    Weitere Informationen finden Sie unter Für SSL relevante Profilparameter beim SAP Web Dispatcher einstellen.

    Beispiel

    • SSL-Server-PSE: SAPSSLS.pse

    • SSL-Client-PSE: SAPSSLC.pse

Zertifikatsanforderung mit dem Trust-Manager anlegen

Nachdem Sie die PSE angelegt haben, müssen Sie eine entsprechende Zertifikatsanforderung anlegen. Für diese Vorgehensweise können Sie auch den Trust-Manager verwenden. Wenn Sie im letzten Schritt zwei PSEs angelegt haben, dann führen Sie Folgendes für jede der PSEs durch.

  1. Wählen Sie per Doppelklick den Knoten Datei aus.

    Sie gelangen auf das Dialogfenster Öffnen.

  2. Markieren Sie die PSE, die Sie in der vorigen Vorgehensweise gesichert haben.

    Das zugehörige Zertifikat wird im PSE-Pflege-Abschnitt im Feld Inhaber angezeigt.

  3. Wählen Sie im PSE-Pflege-Abschnitt Zertifikatsanforderung erzeug.

    Sie gelangen auf das Dialogfenster, das die Zertifikatsanforderung anzeigt.

  4. Markieren Sie den Inhalt der Anforderung, und kopieren Sie ihn in die Zwischenablage (Wählen Sie Kopieren.) oder sichern Sie die Zertifikatsanforderung mit ( <Dateiname>.P10) über Sichern als lokale Datei in eine Datei.

Ergebnis

Sie haben die PSE(s) angelegt, die für SSL und die entsprechenden Zertifikatsanforderungen zu verwenden sind. Führen Sie als nächstes Zertifikatsanforderungen an eine CA senden aus.