Zum Hauptinhalt springen

PSE-Zertifikat

Um die Verbindung zwischen dem Identity Center und dem ABAP-System abzusichern, erfordert SNC (Secure Network Communications) die Verwendung eines externen Sicherheitsprodukts zur Ausführung der Sicherheitsfunktionen. Hierzu verwenden Sie entweder die SAP Cryptographic Library oder ein anderes SNC-zertifiziertes Produkt.

Voraussetzungen

  • Die SAP Cryptographic Library ist auf dem Applikationsserver verfügbar: Ist die SAP Cryptographic Library nicht installiert, zeigt der Trust Manager den Knoten für die SNC PSE nicht an.
  • Die Umgebungsvariable SECUDIR ist auf den Ort gesetzt, an dem die PSE gespeichert wird.
  • SNC PSE – Die von Ihnen verwendete Namenskonvention für den Distinguished Name muss mit dem Distinguished Name-Teil des SNC-Namens des Servers übereinstimmen, den Sie im Profilparameter snc/identity/as definieren. Ist dieser Profilparameter noch nicht gesetzt, können Sie dennoch den Distinguished Name des Servers angeben, erhalten jedoch eine Warnung, dass Sie den Profilparameter pflegen müssen.
  • Der Distinguished Name des Applikationsservers für SNC muss ebenfalls eindeutig sein. Sie dürfen keinen Distinguished Name angeben, den der Server bereits in einer anderen PSE, beispielsweise der System PSE, verwendet.

Vorgehensweise

  • Öffnen Sie den Trust Manager und starten Sie die Transaktion STRUST.
  • Wählen Sie den SNC PSE-Knoten aus.
  • Öffnen Sie das Kontextmenü und wählen Sie Erstellen (wenn keine PSE vorhanden ist) oder Ersetzen. Der <Create/Replace> PSE-Dialog erscheint. Nutzen Sie das Kontextmenü und wählen Sie Erstellen (wenn keine PSE existiert) oder Ersetzen.
  • Geben Sie die Bestandteile des Distinguished Name des Systems in die entsprechenden Felder ein. Falls der SNC-Name des Servers im Profilparameter snc/identity/as definiert ist, ermittelt das System den Distinguished Name automatisch entsprechend. Die folgende Tabelle zeigt die Bestandteile des Distinguished Name:
DN-TeilDefinitionBeispiel
CNCommon Name<SID>
EMAILE-MailE-Mail-Adresse für Subject: Wenn Sie X.509v3-Zertifikate verwenden, müssen Sie Drittanbietertools nutzen, um eine E-Mail-Adresse in einen Subject Alternative Name zu integrieren.
OUOrganizational Unit (optional)Abteilungsname
OOrganizationFirmenname
CLandUSA: US
Deutschland: DE

  • Wenn Sie eine Referenz auf einen CA-Namensraum verwenden, werden die im CA-Feld enthaltenen Elemente automatisch für den Distinguished Name des Servers übernommen. In diesem Fall können Sie das Feld Land nicht mehr bearbeiten. Nutzen Sie die Umschaltfunktion (loom_pse_2), um die Referenz auf einen CA-Namensraum zu aktivieren bzw. zu deaktivieren.
  • Wenn Sie die SAP CA als ausstellende CA verwenden, dann muss der restliche Distinguished Name (außer dem CN-Teil) wie folgt aufgebaut sein: OU=I-, OU=SAP Web Application Server, O=SAP Trust Community, C=DE

  • Für den ersten OU (Organizational Unit)-Teil geben Sie ausschließlich Ihre Kundennummer an. Die SAP CA ergänzt den OU-Teil anschließend automatisch um Ihren Firmennamen.

  • Wählen Sie Enter: Sie kehren zur Trust Manager-Oberfläche zurück.
  • Für SNC müssen Sie der PSE ein Passwort zuweisen. Wählen Sie loom_pse Passwort zuweisen. Der PSE-Dialog erscheint.
  • Geben Sie ein Passwort für die PSE ein und wählen Sie Enter. Sie kehren zur Trust Manager-Oberfläche zurück.