Show TOC

SSL für den SAP-Host-Agenten auf UNIX konfigurierenLocate this document in the navigation structure

Dieser Abschnitt beschreibt beispielhaft die SSL-Konfiguration für den SAP-Host-Agenten auf UNIX.

Voraussetzungen

Sie sind als ein Benutzer mit der root-Berechtigung angemeldet.

Kontext

In der folgenden Vorgehensweise gehen wir von der Annahme aus, dass Sie die Standardnamen für die Server-PSE verwenden. Wenn Sie den Standard-.pse-Namen überschreiben wollen, können Sie den folgenden Wert in der Profildatei des SAP-Host-Agenten (host_profile) verwenden:

ssl/server_pse= <Pfad zur Server-PSE>

Vorgehensweise

  1. Bereiten Sie die Personal Security Environment (PSE) für den Server vor:

    Die Server-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate sowie das Serverzertifikat, das an den Client gesendet wird, wenn die SSL-Verbindung hergestellt ist. Vertrauenswürdige Zertifikate können Zertifikate, die von der Certification Authority (CA) ausgestellt werden, oder individuell vertrauenswürdige Zertifikate sein.

    Gehen Sie folgendermaßen vor:

    1. Legen Sie ein Verzeichnis /usr/sap/hostctrl/exe/sec mithilfe des Befehls mkdir an:
      Hinweis

      Sie können auch ein anderes Verzeichnis verwenden, aber in diesem Falle müssen Sie angeben, wo sich die PSE-Datei befindet und dafür den Parameter ssl/server_pse wie oben beschrieben verwenden. In der folgenden Vorgehensweise verwenden wir der Einfachheit halber immer das Verzeichnis sec.

    2. Weisen Sie die Eigentümerrechte für das Verzeichnis sec sapadm:sapsys zu.
    3. Richten Sie den Suchpfad für die Shared Library (LD_LIBRARY_PATH, LIBPATH oder SHLIB_PATH) und die SECUDIR-Umgebungsvariablen ein und wechseln Sie zum Verzeichnis exe des SAP-Host-Agenten.
      Beispiel

      • Auf Linux und Solaris sind die erforderlichen Befehle:

        export LD_LIBRARY_PATH=/usr/sap/hostctrl/exe/

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      • Auf HP-UX sind die erforderlichen Befehle:

        export SHLIB_PATH=/usr/sap/hostctrl/exe/

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      • Auf AIX sind die erforderlichen Befehle:

        export LIBPATH=/usr/sap/hostctrl/exe

        export SECUDIR=/usr/sap/hostctrl/exe/sec

        cd /usr/sap/hostctrl/exe

      Empfehlung

      Setzen Sie SECUDIR als absoluten Pfad, um Konflikte mit dem Werkzeug sapgenpse zu vermeiden.

    4. Legen Sie die Server-PSE und dort das Serverzertifikat sowie den Certificate Signing Request (CSR) an. Führen Sie den Befehl als Benutzer sapadm aus, damit die angelegten Dateien diesem Benutzer gehören.
      Beispiel

      sudo -u sapadm LD_LIBRARY_PATH=/usr/sap/hostctrl/exe SECUDIR=/usr/sap/hostctrl/exe/sec /usr/sap/hostctrl/exe/sapgenpse gen_pse -p SAPSSLS.pse -x <password>-r /tmp/myhost-csr.p10 "CN=myhost.wdf.sap.corp, O=SAP AG, C=DE"

      Dieser Befehl legt eine PSE-Datei namens SAPSSLS.pse (Name ist ein Festwert) an, die für die Authentifizierung von myhost.wdf.sap.corp für eingehende SSL-Verbindungen verwendet werden kann. Der Zugriff auf die PSE-Datei wird mit einem Kennwort geschützt. Verwenden Sie die Option -r, um die Zertifikatsanforderung an eine Datei zu leiten oder verwenden Sie sie nicht, wenn Sie den CSR mithilfe von Copy&Paste in ein Web-Formular einfügen wollen.

    5. Gewähren Sie dem SAP-Host-Agenten Zugriff auf die Server-PSE.
      Beispiel

      sudo -u sapadm LD_LIBRARY_PATH=/usr/sap/hostctrl/exe SECUDIR=/usr/sap/hostctrl/exe/sec /usr/sap/hostctrl/exe/sapgenpse seclogin -p SAPSSLS.pse -x <password>-O sapadm

    6. Rufen Sie das Zertifikat auf die folgende Weise ab:

      1. Senden Sie die Zertifikatsanforderung an eine entsprechende CA.

      2. Kopieren Sie das signierte Zertifikat - einschließlich der Zeilen "---- BEGIN CERTIFICATE ----" und "---- END CERTIFICATE ----" - und fügen Sie es in eine Textdatei ein.

        Beispiel

        Wenn das verwendete Format PKCS#7 ist, kann die Textdatei beispielsweise myhost.p7b genannt werden. Wir verwenden diesen Dateinamen in den folgenden Beispielen:

    7. Importieren Sie das signierte Zertifikat in die Server-PSE.
      Beispiel

      sudo -u sapadm LD_LIBRARY_PATH=/usr/sap/hostctrl/exe SECUDIR=/usr/sap/hostctrl/exe/sec /usr/sap/hostctrl/exe/sapgenpse import_own_cert -p SAPSSLS.pse -x <password>-c /tmp/myhost.p7b

    8. Prüfen Sie die Server-Zertifikatskette.
      Beispiel

      sudo -u sapadm LD_LIBRARY_PATH=/usr/sap/hostctrl/exe SECUDIR=/usr/sap/hostctrl/exe/sec /usr/sap/hostctrl/exe/sapgenpse get_my_name -p SAPSSLS.pse -x <password>-v

  2. Starten Sie den SAP-Host-Agenten erneut.
  3. Bereiten Sie die Personal Security Environment (PSE) für den Client vor:

    Die Client-PSE enthält die Namen und die öffentlichen Schlüssel der vertrauenswürdigen Zertifikate von der CA sowie das Client-Zertifikat, das an den SAP-Host-Agenten gesendet wird, wenn die SSL-Verbindung hergestellt ist.

    Die Konfigurationsschritte sind Client-spezifisch. Aus diesem Grund beschreiben wir sie auf generische Weise. Folgen Sie den Anweisungen in der entsprechenden Client-Dokumentation.

    Beispiele für mögliche Clients sind die SAP Management Console (SAP MC), der Diagnostics-Agent im SAP Solution Manager oder die Software des SAP NetWeaver Landscape Virtualization Management (LVM) (vormals Adaptive Computing Controller (ACC)).

Ergebnisse

Empfehlung

Wenn Sie die oben stehende Vorgehensweise erfolgreich angewendet haben, ist der SAP-Host-Agent auch für den Port 1129 für die SSL-Kommunikation verwendbar.

Weitere Informationen