Show TOC

Verwendung von Client-Zertifikaten zur Authentifizierung konfigurierenLocate this document in the navigation structure

Voraussetzungen

  • Der AS Java ist so konfiguriert, dass er SSL mit den gegebenen Zertifikaten unterstützt. Weitere Informationen finden Sie unter Transport Layer Security auf dem AS Java .

  • Die Wurzelzertifikate der Certification Authorities (CAs) der Client-Zertifikate sind entweder in einer Keystore-Sicht des AS-Java-Keystore oder im Dateisystem als DER- oder Base-64-verschlüsselte Zertifikate vorhanden.

Kontext

Mit dieser Vorgehensweise konfigurieren Sie die Verwendung von Client-Zertifikaten für die Authentifizierung, wenn die Benutzer auf den AS Java mit einer Ende-zu-Ende-Verbindung zugreifen.

In den Fällen, in denen sie über einen zwischengeschalteten Proxy-Server, der die Verbindung beendet, auf den Server zugreifen, siehe Verwendung von Client-Zertifikaten über einen zwischengeschalteten Server konfigurieren .

Hinweis

Mit Client-Zertifikaten können Sie Benutzer authentifizieren, ohne einen von einem Anmeldebild gelieferten Benutzernamen oder ein Kennwort zu benötigen. Daher können Sie die Client-Zertifikate auch dazu verwenden, den AS Java in Single-Sign-On-Umgebungen zu integrieren.

Wenn Client-Zertifikate zur Benutzerauthentifizierung verwendet werden, dann verwendet der AS Java die Zertifikatsinformationen, um die Identität des Benutzers zu ermitteln.

Der Algorithmus zur Ermittlung der Benutzerkennung kann durch das Angeben von Regeln konfiguriert werden. Jede dieser Regeln kann mehrere Konfigurationsoptionen umfassen und mit Filtern so eingeschränkt werden, dass sie nur für bestimmte Zertifikate gilt. Außerdem gibt jede Regel den Mechanismus an, der zur Ermittlung der Zuordnung zwischen dem Zertifikat, das dieser Einschränkung entspricht, und der Benutzerkennung bei der Benutzerauthentifizierung verwendet wird.

Sie können die Verwendung der folgenden Mechanismen konfigurieren, um die Benutzerkennung, die mit einem Client-Zertifikat assoziiert ist, während des Anmeldevorgangs einzurichten:

  • Der AS Java kann das gelieferte Zertifikat mit einem Client-Zertifikat abgleichen, das für die Benutzerkennung in der AS-Java-Benutzerablage abgelegt ist.

  • Der AS Java kann die Benutzerkennung direkt aus den Feldern im Client-Zertifikat ermitteln.

Vorgehensweise


  1. Tragen Sie mit den Keystore-Verwaltungsfunktionen von SAP NetWeaver Administrator das Wurzelzertifikat jeder der Client-Zertifikat-CAs als CERTIFICATE -Eintrag in der Sicht ICM_SSL_<Instanz-ID> ein.

    Falls das Zertifikat bereits in einer anderen Keystore-Sicht des AS Java vorhanden ist, dann können Sie den vorhandenen Zertifikatseintrag in die entsprechende Sicht kopieren. Alternativ können Sie, falls das Zertifikat als Datei in Ihrem Dateisystem vorhanden ist, diese in den AS-Java-Keystore importieren. Weitere Informationen finden Sie unter AS-Java-Keystore verwenden .

  2. Wählen Sie mit dem VCLIENT-Profilparameter des ICM für den AS Java aus, ob der AS Java

    • anfragen (aber nicht erfordern) sollte, dass der Benutzer zur Authentifizierung ein Client-Zertifikat vorweist

    • fordern sollte, dass zur Authentifizierung Client-Zertifikate zu verwenden sind

    Weitere Informationen finden Sie unter icm/server_port_<xx> und ICM-Parameter zur Verwendung von SSL pflegen .

  3. Konfigurieren Sie das ClientCertLoginModule um die AS-Java-Benutzerkennung aus dem Client-Zertifikat einzurichten und um gelieferte Zertifikate zu filtern.

    Weitere Informationen finden Sie unter Client-Zertifikatsauthentifizierungsoptionen ändern .

  4. Passen Sie die Login-Modul-Stacks an, und konfigurieren Sie die Login-Module für die Anwendungen, die Client-Zertifikate als Authentifizierungsmechanismus akzeptieren.

Ergebnisse

Die ausgewählten Anwendungen akzeptieren Client-Zertifikate zur Benutzerauthentifizierung.