Show TOC

Zertifikatswiderruf aktivierenLocate this document in the navigation structure

Verwendung

Beim AS Java können Sie sich mit Listen widerrufener Zertifikate (CRLs) vergewissern, dass ein bestimmtes Zertifikat nicht von der ausstellenden Certificate Authority (CA) widerrufen wurde.

Der Zertifikatswiderruf steht für folgende Anwendungsfälle zur Verfügung:

  • Benutzerauthentifizierung mit Secure-Sockets-Layer-Protokoll (SSL-Protokoll) und X.509-Client-Zertifikaten

    Dabei wird die Überprüfung in das Login-Modul ClientCertLoginModule integriert. Wenn das Zertifikat des Benutzers widerrufen wurde, wird dem Benutzer der Zugriff auf den Server verweigert.

  • Wenn die HTTPS Connection Factory für die Herstellung der Verbindung verwendet wird: Ausgehende Verbindungen mit Servern, die HTTPS verwenden (zum Beispiel solche, die den Destination Service verwenden).

    Dabei wird die Überprüfung von der HTTPS Connection Factory durchgeführt. Wenn das Zertifikat des Zielservers widerrufen wurde, wird keine Verbindung hergestellt.

Um zu verifizieren, ob ein Zertifikat widerrufen wurde, verwendet der AS Java den Certificate Revocation Check Service. Für jeden Anwendungsfall pflegt der Dienst ein Zertifikatswiderruf-Profil, dass die zur Überprüfung notwendigen Informationen enthält, wie den Namen des Zertifikatsausstellers (CA) und seinen CRL-Verteilungspunkt. Für die Überprüfung von Benutzerzertifikaten verwendet der Service das Profil ClientCertLoginModule und für die Überprüfung von Serverzertifikaten das Profil SSLClientLib.

Standardmäßig wird der Service in jedem der Anwendungsfälle aufgerufen, jedoch sind die entsprechenden Profile deaktiviert. Daher müssen Sie zur Überprüfung widerrufener Zertifikate das entsprechende Profil aktivieren.

Hinweis

Weitere Informationen zum Certificate Revocation Check Service finden Sie unter Funktionen des Certificate Revocation Check Service.

Voraussetzungen
  • Jede CRL ist digital von ihrer CA signiert. Daher muss das entsprechende CA-Root-Zertifikat in eine Schlüsselspeichersicht auf dem AS Java importiert werden, um die von der CRL zur Verfügung gestellte digitale Signatur zu verifizieren. Die Standardsicht ist TrustedCAs.
  • Der AS Java kann zu jedem verwendeten CRL-Verteilungspunkt eine Verbindung herstellen.
    Hinweis

    Standardmäßig wird der im Zertifikat angegebene CRL-Verteilungspunkt verwendet, um die CRL zu lokalisieren. Die Standort wird von der ausstellenden CA festgelegt und befindet sich normalerweise an der CA.

    Der Verteilungspunkt kann sich hinter einem Proxy-Server befinden. Stellen Sie daher sicher, dass der AS Java eine Verbindung zu ihm herstellen kann.

    Alternativ können Sie die CRL vom Verteilungspunkt herunterladen und in einer lokalen Datei sichern. Dann müssen Sie sicherstellen, dass die lokale Datei auf dem neuesten Stand bleibt.

Vorgehensweise
  1. Starten Sie die Anwendung Certificate Revocation Check Management.
    Hinweis

    Sie finden die Anwendung Certificate Revocation Check Management im SAP NetWeaver Administrator unter SAP NetWeaver Administrator -> Konfigurationsverwaltung -> Sicherheit -> Zertifikate und Schlüssel.

    Alternativ können Sie die Anwendung Certificate Revocation Check Management direkt über diese URL starten:

http://<host>:<port>/webdynpro/dispatcher/sap.com/tc~sec~certrevc~ui/LocalServiceApp

  1. Konfigurieren Sie den Service Certificate Revocation Check.

    Unter Konfiguration -> Profile:

    1. Wählen Sie Bearbeiten, um in den Bearbeitungsmodus zu wechseln.
    2. Aktivieren Sie das Profil für den Anwendungsfall, den Sie auf einen Zertifikatswiderruf untersuchen möchten.
    3. Wählen Sie das Fehlerverhalten aus.
      • Continue bedeutet, dass die Bearbeitung bei Fehlern, die nicht durch einen Zertifikatswiderruf hervorgerufen wurden, weiterläuft. Dies garantiert einen reibungslosen Ablauf, falls Fehler auftreten, die nicht mit der Widerrufsprüfung in Verbindung stehen (z.B. Netzwerkfehler beim Versuch, eine Verbindung mit dem Verteilungspunkt der CA herzustellen).
      • Error bedeutet, dass die Bearbeitung abgebrochen wird, wenn ein solcher Fehler auftritt

In beiden Fällen gibt die Prüfung einen Fehler aus, wenn das Zertifikat widerrufen wurde.

  1. Zum Bearbeiten von Attributen einzelner Zertifikatsaussteller, die sich im Profil befinden, wählen Sie das Profil aus.

    Die Zertifikatsaussteller, die sich im Profil befinden, werden im unteren Bildschirmbereich angezeigt.

    Für jeden Zertifikatsaussteller können Sie:

    • den Zertifikatsaussteller aktivieren oder deaktivieren.

      Wenn Sie einen Eintrag deaktivieren, wird keine Widerrufsprüfung für Zertifikate durchgeführt, die von dieser CA ausgestellt wurden.

    • einen alternativen Verteilungspunkt angeben.

      Geben Sie einen alternativen Verteilungspunkt an, wenn Sie den Verteilungspunkt , der sich im zu überprüfenden Zertifikat befindet, überschreiben möchten.

  2. Sichern Sie die Daten.
Beispiel

Im Folgenden wird ein Beispiel für die Konfiguration des Certificate Revocation Check dargestellt.

Profil-Liste

Aktiv Profilname Fehlerverhalten Aussteller

aktiv

ClientCertLoginModule

Error

1

Inaktiv

SSLClientLib

Continue

1

Zertifikatsaussteller für das ausgewählte Profil (ClientCertLoginModule)

Aktiv Zertifikatsaussteller Alternative Verteilstelle

Aktiv

CN=ExampleCA, O=ExampleCompany, C=DE

file:///C:/LocalCRLs/ExampleCA.crl

Ergebnis

Für die entsprechenden Anwendungsfälle verwendete Zertifikate werden überprüft, wenn die SSL-Verbindung hergestellt wird. Wenn das Zertifikat von der ausstellenden CA widerrufen wurde, tritt ein Fehler auf.

Optionale Aufgaben

Zusätzlich zur Aktivierung der Profile können Sie zusätzliche Einstellungen konfigurieren oder optionale Aufgaben durchführen. Lesen Sie dazu: