PSE anlegen oder ersetzen
Verwendung
Verwenden Sie folgende Vorgehensweise, um eine PSE anzulegen oder zu ersetzen. Sie müssen z.B. eine PSE ersetzen, wenn das Public-Key-Zertifikat, das in der PSE enthalten ist, abläuft.
Wir empfehlen Ihnen, den Report SSFALRTEXP zu verwenden. Dann erhalten Sie automatisch eine Systemprotokollmeldung und einen Alert im CCMS zu den in den verschiedenen PSEs enthaltenen, ablaufenden Zertifikaten. Alternativ bieten wir Ihnen auch Report SSF_ALERTCERT_EXPIRE, den Sie manuell einsetzen oder als Hintergrundjob einplanen können. Weitere Informationen finden Sie im SAP-Hinweis 572035.
Voraussetzungen
Sie kennen die Syntax für den Distinguished Name (DN) des Servers. Weitere Informationen erhalten Sie in den folgenden Tabellen.
Teile des Distinguished Name
DN-Teil |
Definition |
Beispiele |
CN |
Common Name |
<SID> |
OU |
Organisationseinheit (optional) |
Abteilungsname |
O |
Organisation |
Firmenname |
C |
Land |
USA: US Deutschland: DE |
Anforderungen an den Dinstinguished Name des Servers pro PSE-Art
PSE |
Voraussetzung |
System-PSE |
Standard-Distinguished-Name: CN=<SID> Falls beim Start des Anwendungsservers keine System-PSE vorhanden ist, legt das System automatisch mit dem Distinguished Name CN=<SID> das Public-Key-Zertifikat für die System-PSE an. Wenn Sie diese PSE ersetzen, können Sie den neuen Distinguished Name frei wählen. |
SNC-PSE |
Der Distinguished Name muss snc/identity/as entsprechen Der für das Public-Key-Zertifikat der SNC-PSE verwendete Distinguished Name muss dem Teil des Distinguished Name des SNC-Namens des Servers (ohne p:) entsprechen, der in Profilparameter snc/identity/as des Anwendungsservers angegeben wird. |
SSL-Server-PSE |
CN-Teil des Distinguished Name: CN=<vollqualifizierter_Hostname> Der Common-Name-Teil (CN-Teil) des Distinguished Name des Public-Key-Zertifikats der SSL-Server-PSE muss dem vollqualifizierten Hostnamen entsprechen, mit dem die Benutzer auf den Anwendungsserver zugreifen werden, z. B. CN=host123.mycompany.com. |
Anonyme SSL-Client-PSE |
Distinguished Name: CN=anonymous Das System verwendet automatisch den Distinguished Name CN=anonymous für das Public-Key-Zertifikat der anonymen SSL-Client-PSE. Sie können diesen Namen nicht ändern. Außerdem kann sich der Anwendungsserver nicht mit dieser Identität authentifizieren. |
Standard- und eigene SSL-Client-PSEs |
Distinguished Name: keine besonderen Anforderungen Sie können den Distinguished Name des in den Standard- und in den eigenen SSL-Client-PSEs abgelegten Public-Key-Zertifikats frei wählen. |
Bei Verwendung der SAP CA
Falls Sie die SAP CA als ausstellende CA für eine der o. g. PSEs verwenden, muss der Rest des Distinguished Name (nicht der CN-Teil) wie folgt lauten:
OU=I<Kundennummer>-<Firmenname>, OU=SAP Web Application Server, O=SAP Trust Community, C=DE
Beim ersten OU-Teil (Organisationseinheitsteil) geben Sie nur Ihre Kundennummer an. Die SAP CA erweitert den OU-Teil automatisch um Ihren Firmennamen.
Vorgehensweise
Führen Sie im Bild Trust-Manager folgende Schritte aus:
...
1. Markieren Sie den gewünschten PSE-Knoten.
2. Wählen Sie im Kontextmenü Anlegen (wenn keine PSE vorhanden ist) oder Ersetzen.
Sie gelangen auf das Dialogfenster zum Anlegen oder Ersetzen der PSE.
3. Geben Sie in den entsprechenden Feldern die Teile des Distinguished Name des Systems an. Falls Sie eine Referenz auf einen CA-Namensraum verwenden, nimmt das System diese Teile des Distinguished Name der CA automatisch in den neu erzeugten Namen auf. Siehe Tabelle und Beispiele unten.
4. Wählen Sie Weiter.
Falls Sie eine SSL-Server-PSE anlegen, erzeugt das System einen systemweit gültigen Namensvorschlag für den Distinguished Name und liefert Ihnen dann eine Liste möglicher serverspezifischer Namen. Sie können dann pro Anwendungsserver wählen, ob Sie entweder den serverspezifischen oder den systemweit gültigen Distinguished Name verwenden. Weitere Informationen erhalten Sie unter SSL-Server-PSE anlegen.
Teile des Distinguished Name
Feld |
DN-Teil |
Eingabe |
Kommentar |
Name |
CN |
<Common_Name> |
z.B. <SID>. |
Org. (opt.) |
OU |
<Organisationseinheit> |
z.B. der Abteilungsname. Optionale Angabe. Standard=<Installationsnummer>. |
Firma/Org. |
OU O |
<Organisationseinheit> <Organisation> |
Falls Sie eine Referenz auf einen CA-Namensraum verwenden, verwendet das System die Eingabe für dieses Feld als einen zusätzlichen OU-Teil. Bei Verwendung der SAP CA ist der Vorschlagseintrag der OU-Teil: SAP Web Application Server.
Mit der
Umschaltfunktion ( |
Land |
C |
<Land> |
Eingabe ist nur verfügbar, falls Sie keine Referenz auf einen CA-Namensraum verwenden. |
CA |
nicht relevant |
<CA-Namensraum> |
Eingabe ist verfügbar, falls Sie eine Referenz auf eine CA verwenden. Geben Sie den Namensraum der CA an. Der Standardeintrag ist der Namensraum der SAP CA (O=SAP Trust Community, C=DE). Der Distinguished Name des Servers oder Systems wird dann mit dieser Erweiterung erzeugt. Siehe folgende Beispiele. |
)
aktivieren oder deaktivieren Sie die Referenz auf einen
CA-Namensraum.
Beispiel 1: Referenz auf den SAP-CA-Namensraum
Folgendes Beispiel verwendet die gemachten Eingaben und eine Referenz auf den SAP-CA-Namensraum:
● Name = MY1
● Org. (opt.): = I0120007965 (Standard)
● Firma = SAP Web Application Server (Standard)
● CA-Referenz = O=SAP Trust Community, C=DE (Standard)
Der Trust-Manager erzeugt dann ein Public-Key-Zertifikat mit dem Distinguished Name CN=MY1, OU=I0120007965, OU=SAP Web Application Server, O=SAP Trust Community, C=DE.
Beispiel 2: Ohne Referenz auf einen CA-Namensraum
Folgendes Beispiel verwendet keine Referenz auf einen CA-Namensraum.
Eingabe:
● Name = MY1
● Firma = MyCompany
● Land = US
Der Distinguished Name lautet somit CN=MY1, O=MyCompany, C=US.
Ergebnis
Das System legt ein neues Public-Key-Schlüsselpaar und ein selbstsigniertes Public-Key-Zertifikat an, die in der PSE abgelegt werden. Wenn die PSE in der Datenbank liegt und verteilt werden soll, verteilt das System die PSE automatisch an die einzelnen Anwendungsserver.