
Beim AS Java können Sie sich mit Listen widerrufener Zertifikate (CRLs) vergewissern, dass ein bestimmtes Zertifikat nicht von der ausstellenden Certificate Authority (CA) widerrufen wurde.
Der Zertifikatswiderruf steht für folgende Anwendungsfälle zur Verfügung:
Dabei wird die Überprüfung in das Login-Modul ClientCertLoginModule integriert. Wenn das Zertifikat des Benutzers widerrufen wurde, wird dem Benutzer der Zugriff auf den Server verweigert.
Dabei wird die Überprüfung von der HTTPS Connection Factory durchgeführt. Wenn das Zertifikat des Zielservers widerrufen wurde, wird keine Verbindung hergestellt.
Um zu verifizieren, ob ein Zertifikat widerrufen wurde, verwendet der AS Java den Certificate Revocation Check Service. Für jeden Anwendungsfall pflegt der Dienst ein Zertifikatswiderruf-Profil, dass die zur Überprüfung notwendigen Informationen enthält, wie den Namen des Zertifikatsausstellers (CA) und seinen CRL-Verteilungspunkt. Für die Überprüfung von Benutzerzertifikaten verwendet der Service das Profil ClientCertLoginModule und für die Überprüfung von Serverzertifikaten das Profil SSLClientLib.
Standardmäßig wird der Service in jedem der Anwendungsfälle aufgerufen, jedoch sind die entsprechenden Profile deaktiviert. Daher müssen Sie zur Überprüfung widerrufener Zertifikate das entsprechende Profil aktivieren.
Weitere Informationen zum Certificate Revocation Check Service finden Sie unter Funktionen des Certificate Revocation Check Service.
Standardmäßig wird der im Zertifikat angegebene CRL-Verteilungspunkt verwendet, um die CRL zu lokalisieren. Die Standort wird von der ausstellenden CA festgelegt und befindet sich normalerweise an der CA.
Der Verteilungspunkt kann sich hinter einem Proxy-Server befinden. Stellen Sie daher sicher, dass der AS Java eine Verbindung zu ihm herstellen kann.
Alternativ können Sie die CRL vom Verteilungspunkt herunterladen und in einer lokalen Datei sichern. Dann müssen Sie sicherstellen, dass die lokale Datei auf dem neuesten Stand bleibt.
Sie finden die Anwendung Certificate Revocation Check Management im SAP NetWeaver Administrator unter SAP NetWeaver Administrator -> Konfigurationsverwaltung -> Sicherheit -> Zertifikate und Schlüssel.
Alternativ können Sie die Anwendung Certificate Revocation Check Management direkt über diese URL starten:
http://<host>:<port>/webdynpro/dispatcher/sap.com/tc~sec~certrevc~ui/LocalServiceApp
Unter Konfiguration -> Profile:
In beiden Fällen gibt die Prüfung einen Fehler aus, wenn das Zertifikat widerrufen wurde.
Die Zertifikatsaussteller, die sich im Profil befinden, werden im unteren Bildschirmbereich angezeigt.
Für jeden Zertifikatsaussteller können Sie:
Wenn Sie einen Eintrag deaktivieren, wird keine Widerrufsprüfung für Zertifikate durchgeführt, die von dieser CA ausgestellt wurden.
Geben Sie einen alternativen Verteilungspunkt an, wenn Sie den Verteilungspunkt , der sich im zu überprüfenden Zertifikat befindet, überschreiben möchten.
Im Folgenden wird ein Beispiel für die Konfiguration des Certificate Revocation Check dargestellt.
Profil-Liste
| Aktiv | Profilname | Fehlerverhalten | Aussteller |
|---|---|---|---|
aktiv |
ClientCertLoginModule |
Error |
1 |
Inaktiv |
SSLClientLib |
Continue |
1 |
Zertifikatsaussteller für das ausgewählte Profil (ClientCertLoginModule)
| Aktiv | Zertifikatsaussteller | Alternative Verteilstelle |
|---|---|---|
Aktiv |
CN=ExampleCA, O=ExampleCompany, C=DE |
file:///C:/LocalCRLs/ExampleCA.crl |
Für die entsprechenden Anwendungsfälle verwendete Zertifikate werden überprüft, wenn die SSL-Verbindung hergestellt wird. Wenn das Zertifikat von der ausstellenden CA widerrufen wurde, tritt ein Fehler auf.
Zusätzlich zur Aktivierung der Profile können Sie zusätzliche Einstellungen konfigurieren oder optionale Aufgaben durchführen. Lesen Sie dazu: