SSL-Schlüsselpaar und vertrauenswürdige X.509-Zertifikate konfigurieren

Voraussetzungen

Für den Import eines bereits vorhandenen Schlüsselpaars oder vertrauenswürdigen X.509-Client-Zertifikats muss das Schlüsselpaar im Dateisystem in einem bestimmten Format vorliegen. Weitere Informationen zu unterstützten Formaten finden Sie unter Verwendung des Keystores .
Die Antwort auf die Zertifikatsanforderung, die Sie von der CA erhalten, muss als DER (Distinguished Encoding Rules) oder Base-64-verschlüsselte Datei vorliegen.

Kontext

Sie können die folgende Vorgehensweise zum Konfigurieren des Schlüsselpaars und vertrauenswürdiger Client-Zertifikate für das Herstellen von SSL-Verbindungen zum AS Java verwenden. Sie können ein neues Schlüsselpaar anlegen oder ein bereits vorhandenes Schlüsselpaar oder vertrauenswürdiges X.509-Client-Zertifikat aus dem Dateisystem hochladen.

Hinweis

Für SSL benötigt der Server ein Schlüsselpaar, das mit seinem voll qualifizierten Hostnamen verknüpft ist, der für den Zugriff auf den Server verwendet wird. Wird auf mehrere Hosts mit demselben voll qualifizierten Hostnamen zugegriffen, müssen Sie nur ein Schlüsselpaar anlegen und können es für alle Hosts verwenden.

Vorgehensweise

Öffnen Sie für die Verwendung der Keystore-Verwaltungsfunktionen des SAP NetWeaver Administrator die Registerkarte Inhalt . Weitere Informationen über die Verwaltung von Schlüsseln und Zertifikaten im Keystore finden Sie unter Einträge verwalten .

Wählen Sie aus der Liste der Keystore-SichtenICM_SSL_<Instanz-ID> oder eine der ICM_SSL_<Instanz-ID>_<Port> -Keystore-Sichten aus. Die Inhalte der gewählten Keystore-Sicht werden angezeigt.

Standardmäßig enthalten diese Keystore-Sichten ein Schlüsselpaar, das während der Installation für die Verwendung von SSL auf dem AS Java angelegt wurde. Da dieses Schlüsselpaar wird von einer testenden CA signiert wird, empfehlen wir Ihnen, die Verwendung des Standardzertifikats auf Testzwecke zu beschränken.

Achtung

Standardmäßig verwendet der AS Java für das Einrichten einer SSL-Verbindung die ICM_SSL-<Instanz-ID> -Sicht Die ICM_SSL_<Instanz-ID>_<Port> -Sichten werden für das Einrichten zusätzlicher Ports für die SSL-Verbindung verwendet. Weiter Informationen zu diese Sichten finden Sie unter: Zusätzliche SSL-Ports .

Gehen Sie für die Konfiguration des Schlüsselpaars und der vertrauenswürdigen Client-Zertifikate für die Verwendung für SSL-Verbindungen wie in der nachfolgenden Tabelle beschrieben vor:

Aufgabe	Vorgehensweise
Gesicherten Schlüsselpaareintrag importieren	Wählen Sie für den bereits vorhandenen AS-Java-Schlüsselpaareintrag in der `ICM_SSL_<Instanz-ID>` -Sicht die Option Löschen . Wählen Sie Aus Datei importieren . Das Dialogfenster Eintragsimport öffnet sich. Wählen Sie den PKCS-Typ für das zu importierende Schlüsselpaar und geben Sie den Pfad und das Kennwort für die PKCS-Datei ein. Wählen Sie Importieren , um das Schlüsselpaar zu der Keystore-Sicht hinzuzufügen.
Vertrauenswürdige X.509-Client-Zertifikate für SSL importieren	Hinweis Für die Verwendung von SSL mit Client-Zertifikaten müssen Sie zudem den VCLIENT-Parameter für das Instanzprofil des AS Java ICM konfigurieren. Weitere Informationen finden Sie unter ICM-Parameter für SSL pflegen . Wählen Sie Aus Datei importieren . Das Dialogfenster Eintragsimport öffnet sich. Wählen Sie für den zu importierenden Eintragstyp X.509-Client-Zertifikat und geben Sie den Pfad des abgelegten X.509-Zertifikats an. Wählen Sie Importieren , um ein vertrauenswürdiges X.509-Zertifikat zur `ICM_SSL_<Instanz-ID>` -Keystore-Sicht hinzuzufügen.
Neuen Schlüsselpaareintrag für die Verwendung von SSL anlegen	Wählen Sie für den bereits vorhandenen AS-Java-Schlüsselpaareintrag in der `ICM_SSL_<Instanz-ID>` -Sicht die Option Löschen . Wählen Sie Anlegen , um ein neues Schlüsselpaar anzulegen. Führen Sie die Schritte des Neuer Eintag -Assistenten aus, der angezeigt wird. Beachten Sie Folgendes: Geben Sie im 1. Schritt des Assistenten den Namen an, über den der private Schlüsseleintrag in der Keystore-Sicht identifizierbar sein soll. Wählen Sie im 1. Schritt des Assistenten die Option Zertifikat ablegen , um das Public-Key-Zertifikat des Servers für einen späteren Export separat zu sichern. Wählen Sie RSA als zu verwendenden Algorithmus aus. Geben Sie im 2. Schritt des Assistenten den voll qualifizierten Hostnamen des Servers als Common-Name-Teil des Distinguished Name an. Sonst geben bestimmte Web-Browser eine Warnung aus, wenn der Hostname, den Benutzer für den Zugriff auf den Server verwenden, nicht mit mit dem im Public-Key-Zertifikat des Servers vorliegenden Hostnamen übereinstimmt.
Zertifikatsanforderung generieren:	Hinweis Sie müssen diesen Konfigurationsschritt ausführen, wenn das entsprechende Zertifikat bisher nicht von einer CA signiert wurde. SAP empfiehlt Ihnen, eine bekannte CA zu verwenden, der Ihre Client-Systeme mit der Signierung der SSL-Schlüssel vertrauen. Wählen Sie einen SSL-Schlüsseleintrag aus. Wählen Sie Zertifikatsanforderung generieren . Sichern Sie die Zertifikatsanforderung in eine Datei. Senden Sie die Zertifikatsanforderung zum Signieren an eine CA. Die genaue Vorgehensweise, die Sie ausführen müssen, hängt von der von Ihnen verwendeten CA ab. Bei der SAP CA halten Sie sich an die Anweisungen des SAP Trust Center Service unter service.sap.com/tcs. Sichern Sie die Zertifikatsantwort in eine Datei im Dateisystem. Verwenden Sie die die Erweiterung .crt (DER-verschlüsselt oder Base-64-verschlüsselt) oder .cert (Base-64-verschlüsselt). Wählen Sie Zertifikatsantwort importieren , um die entsprechende Antwort auf die Zertifikatsanforderung zu importieren und laden Sie die Antwort aus dem Dateisystem.

Starten Sie den SSL-Service des AS Java neu, um die Änderungen am SSL-Schlüsselpaar zu übernehmen.

Ergebnisse

Der Server hat für die Verwendung für SSL ein Public-Key-Schlüsselpaar und ein Private-Key-Schlüsselpaar. Wählen Sie einen Private-Key-Eintrag, um zu prüfen, ob der Import erfolgreich war. Das Zertifikat sollte den Namen der CA als Ausstellen enthalten.

Weiter mit SSL-Verbindung testen .