Administration bei der Verwendung von X.509-Client-Zertifikaten

Beim Zugriff auf SAP-Systeme, die ein web-gestütztes Frontend (z. B. Web Dynpro oder SAP GUI for HTML) verwenden, können Sie die Client-Zertifikate des Secure-Sockets-Layer-Protokolls (SSL-Protokolls) für die Client- oder Benutzerauthentifizierung verwenden. Die Authentifizierung läuft über die zu Grunde liegenden Protokolle und ein Eingriff seitens des Benutzers ist nicht erforderlich, so dass auch eine Single-Sign-On-Umgebung entsteht.

Werkzeuge

AS ABAP: Tabellenpflege (Transaktion SM30)

AS Java: Keystore-Service

Voraussetzungen

Die Verwendung von SSL und Client-Zertifikaten ist in den Systemen konfiguriert. Weitere Informationen finden Sie unter:

ABAP: SAP Web AS für SSL-Unterstützung konfigurieren
ABAP: System für die Verwendung von X.509-Client-Zertifikaten konfigurieren
J2EE Engine: SSL-Verwendung auf der J2EE Engine konfigurieren
J2EE Engine: Benutzerauthentifizierung mit Client-Zertifikaten

Bei Bedarf auszuführende Aufgaben

Die Aufgaben bei Verwendung von Client-Zertifikaten für die Benutzerauthentifizierung sind auch hauptsächlich Konfigurationsaufgaben. Die gelegentlich anfallenden Aufgaben zeigt nachfolgende Tabelle.

Verwaltungsaufgaben bei Verwendung von Client-Zertifikaten

Grund	Aufgabe	Weitere Informationen
Zertifikatsinformationen des Benutzers pflegen	ABAP: Pflegen Sie die Abbildung in Tabelle USREXTID. J2EE Engine: Hierzu stehen mehrere Optionen zur Verfügung: Der Benutzer ordnet sein eigenes Zertifikat zu. Sie importieren das Zertifikat des Benutzers in den Keystore-Service. Das Zertifikat des Benutzers wird in einem LDAP-Verzeichnisserver abgelegt und Sie verwenden die entsprechende Attributabbildung.	ABAP: keine J2EE Engine: Zertifikatsinformationen des Benutzers pflegen und Attributsabbildung für Client-Zertifikate
Zertifikat eines Benutzers erneuern	Wenn sich der Distinguished Name des Benutzers geändert hat, müssen Sie den Abbildungseintrag anpassen oder das Zertifikat des Benutzers entsprechend neu importieren.	Siehe die Richtlinie der Certification Authority (CA), die das Zertifikat des Benutzers ausstellte.
Serverzertifikat erneuern	ABAP: Erzeugen Sie eine Zertifikatsanforderung, senden Sie sie an die CA und importieren Sie die Zertifikatsantwort. J2EE Engine: Erzeugen Sie eine Zertifikatsanforderung, senden Sie sie an die CA und importieren Sie die Antwort. Siehe Schritt 4 unter SSL-Schlüsselpaar des Servers erzeugen.	Siehe die Richtlinie der Certification Authority (CA), die das Zertifikat des Servers ausstellte.

Siehe auch:

ABAP: X.509-Client-Zertifikate verwenden
AS Java: Benutzerauthentifizierung mit Client-Zertifikaten