SSL-Server-PSE anlegen
Verwendung
Die SSL-Server-PSE enthält die Sicherheitsinformationen des Anwendungsservers, die dieser benötigt, um unter Verwendung von SSL zu kommunizieren. Falls Sie ein System mit mehreren Anwendungsservern haben, stehen folgende Möglichkeiten zur Verfügung:
● Sie verwenden eine systemweit gültige SSL-Server-PSE für alle Server.
● Sie verwenden serverspezifische SSL-Server-PSEs für einzelne Anwendungsserver.
● Sie verwenden eine Kombination beider Arten. (Einige Anwendungsserver verwenden eine systemweit gültige SSL-Server-PSE und andere Anwendungsserver verwenden serverspezifische SSL-Server-PSEs.)
Verwenden Sie für die Anwendungsserver, auf die über einen Network Address Translator (NAT) zugegriffen wird, eine systemweit gültige PSE. Verwenden Sie den vollqualifizierten Hostnamen des NAT als Common-Name-Teil (CN-Teil) des Distinguished Name.
Voraussetzungen
● Die SAP Cryptographic Library ist auf dem Anwendungsserver im Verzeichnis $(DIR_EXECUTABLE) installiert.
Wenn die SAP Cryptographic Library nicht installiert ist, sind die Knoten SSL-Server und SSL-Client nicht im Abschnitt PSE-Status des Trust-Managers enthalten.
● Die für den Distinguished Name des Servers zu verwendende Namenskonvention ist Ihnen bekannt. Die Syntax des Distinguished Name hängt von der von Ihnen verwendeten Certification Authority (CA) ab.
Falls Sie z. B. die SAP CA verwenden, lautet die Namenskonvention CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE.
Weitere Informationen zu den SAP-CA-Namenskonventionen erhalten Sie im SAP Trust Center Service unter http://service.sap.com/tcs.
Vorgehensweise
Führen Sie im Bild Trust-Manager folgende Schritte aus:
...
1. Markieren Sie den Knoten SSL-Server.
2. Wählen Sie im Kontextmenü Anlegen (wenn keine PSE vorhanden ist) oder Ersetzen.
Sie gelangen auf das Dialogfenster zum Anlegen oder Ersetzen der PSE.
3. Geben Sie in den entsprechenden Feldern die Teile des Distinguished Name einer Standard-SSL-Server-PSE ein. Verwenden Sie für die Standard-SSL-Server-PSE im Feld Name als Hostnamen den Platzhalter (*), z. B.:
○ Name = *.mycompany.com
○ Org. (opt.) = Test
○ Firma/Org. = MyCompany
○ Land = US
Wenn Sie eine Referenz auf einen
CA-Namensraum verwenden wollen, werden die im Namensraum der CA enthaltenen
Elemente automatisch für den Distinguished Name des Servers verwendet.
Außerdem können Sie das Feld Land nicht ändern. Mit der Umschaltfunktion
(
) aktivieren oder deaktivieren Sie die
Referenz auf einen CA-Namensraum.
Das System baut mit diesen Teilen einen Namensvorschlag für den Distinguished Name auf, der für eine systemweit gültige PSE verwendet wird, sowie zum Aufbau der serverspezifischen Namen eigener PSEs.
Sie gelangen dann auf das Bild SSL-Server. Dort legen Sie fest, ob die einzelnen Anwendungsserver den Namensvorschlag des Distinguished Name und die systemweit gültige SSL-Server-PSE oder eigene PSEs verwenden sollen. Der Namensvorschlag für den Distinguished Name wird im Feld Default PSE DN angezeigt. Die serverspezifischen Distinguished Names werden in der Tabelle in der Spalte Distinguished Name angezeigt.
4. Falls erforderlich, ändern oder löschen Sie je nach Bedarf den Distinguished Name eines einzelnen Anwendungsservers.
Beispiel:
○ Löschen Sie den Distinguished-Name-Eintrag für alle Server, die den Namensvorschlag für den Distinguished Name erhalten sollen.
○ Weisen Sie allen Servern, auf die über NAT zugegriffen werden soll, denselben Distinguished Name zu.
○ Ändern Sie den Distinguished Name, um der Namenskonvention Ihrer CA zu entsprechen (z. B. durch Hinzufügen eines Attributs wie L=<Ort>).
Falls das System für den Server keinen Distinguished Name ermitteln konnte, trat ein Fehler auf, entweder in der Verbindung, oder die Konfiguration des Zielservers wurde nicht fehlerfrei durchgeführt.
5. Wählen Sie Weiter.
Sie kehren damit zum Bild Trust-Manager zurück.
Ergebnis
Das System legt die SSL-Server-PSEs an und verteilt sie an die einzelnen Anwendungsserver.