简介
SAP NetWeaver Java提供多种身份验证机制。由于SAP Landscape Management(LaMa)在NetWeaver上运行,它将支持它提供的所有身份验证方法。
本博客是设置一些流行身份验证方法的基本指南。我们会做一些简单的验证,你也可以通过LaMa restapi博客来测试这些方法。
LaMa默认使用基本的身份验证,用户名/密码为HTTP。在本博客中,我们将首先介绍如何添加带有基本身份验证的SSL,因为这是使用这里介绍的其他方法的先决条件。接下来我们将讨论基于证书的X.509身份验证和oauth2.0身份验证。NetWeaver还支持其他机制,如Kerberos和SAML。不过,目前这些将不会被涵盖,但可能会添加到这个博客在以后的时间。请参阅此处支持的方法的完整列表。
前提条件
当您第一次开始使用这些配置设置或稍后将其用于测试API时,您应该有一个非生产LaMa可用。如果你在生产中这样做,你很容易把事情搞砸。我的测试是在使用sapcloudappliance库(CAL)配置到公共云的LaMa试用设备中完成的。有关CAL的更多信息,微信返利机器人可靠吗,请访问https://cal.sap.com/。本博客简要介绍了试用设备,以防您之前没有听说过它。
章节
SSL十、 509客户端证书身份验证OAuth 2.0身份验证
设置SSL
1。启用对NetWeaver管理员控制台的访问。这需要SAP Note 1451753
cd/usr/SAP//SYS/global/security/data(例如/usr/SAP/J2E/SYS/global/security/data)
vi icm\U过滤器_规则.txt
注释掉所有条目(请注意,这不安全,因此请保存原始文件,以便在完成NetWeaver管理步骤后恢复)
重新启动LaMasudo su–adm(例如j2eadm)停止SAP和启动SAP
2。使用NetWeaver Adminstrator配置SSL。
在浏览器中进入:50000/nwa并以管理员身份登录
进入"配置"选项卡
单击SSL
编辑->添加
输入端口50001,淘客返利,然后保存。现在将提示您重新启动ICM–使用restart now
响应。如果SSL状态为绿色,则我们可以继续,并可以跳到步骤4。如果状态为红色,则我们需要遵循SAP注释2510099.
3。应用SAP Note 2510099(https://launchpad.support.sap.com/#/notes/0002510099)
重启喇嘛sudo su–adm(例如j2eadm)stopsap和startsap
验证SSL状态
4。验证
现在您应该可以通过浏览器进入https://:50001/LaMa(使用管理员登录)
X.509客户端证书验证
在本练习中,企业管理应用,大数据培训,我们将配置LaMa以允许"管理员"使用证书登录。有多种方法可以生成证书(也称为SSL密钥对),例如:
SAP CLI命令"sapgenpse"NetWeaver Java密钥存储服务Opensource实用程序OpenSSL.
我们将只介绍最后两种方法。无论使用哪种方法生成证书,使用证书进行身份验证的配置步骤都是相似的。生成证书
使用SAP NetWeaver密钥存储服务
转到https::50000/nwa
打开密钥存储内容配置->证书和密钥
选择视图"LVMview",在视图条目选项卡中选择创建
当我们对证书进行自签名时,我们将跳过下一个屏幕
在预览屏幕后选择完成
您现在将看到密钥文件和存储的证书
我们在这里所做的是创建一个RSA私钥条目(PKCS#8)和自签名证书。请注意,您可以使用CA授权对证书进行签名
我们现在可以将密钥对文件下载到我们的客户机系统以供以后使用突出显示私钥并单击导出条目,选择"PKCS#12密钥对"格式
输入密码短语并单击生成
这将生成一个文件供下载
我们下载的是一个复杂格式的文件,包括证书和私钥。此文件可以导入web浏览器
某些工具(如命令"curl")需要单独的证书和PEM格式的私钥文件。我们现在可以在Linux系统上使用OpenSSL实用程序分割下载的文件。系统将提示您输入创建证书时指定的密码短语。openssl pkcs12-in lama\u admin.p12-out lama_管理员.crt.pem-clcerts-无密钥openssl pkcs12-in lama\u admin.p12-out lama_管理员密钥pem-nocerts-节点
使用OpenSSL
这可以在安装了OpenSSL的Linux系统或
安装了OpenSSL的Windows系统(例如。https://slproweb.com/products/Win32OpenSSL.html)
您可以通过免费食谱获得更多关于OpenSSL的信息https://www.feistyduck.com/library/openssl-cookbook/
生成SSL密钥对(自签名)openssl请求-x509-新密钥rsa:4096-sha256-键入openssl_管理员密钥-输出openssl_管理员.crt-第600天-主题"/C=US/L=Palo Alto/O=SAP SE/CN=sap.com网站"应该提示您输入密码短语(请记下)
命令完成后,您将得到2个文件–openssl_管理员密钥(这是私钥文件)和openssl_管理员.crt(自签名证书)
我们现在将创建PKCS#12(PFX)密钥和证书。这是一个复杂格式的文件,可以存储和保护服务器密钥以及整个证书链。当我们将证书导入到运行在Windows系统上的浏览器或邮递员时,需要使用此格式。
我们将使用上述2个文件创建此格式。
openssl pkcs12-export-name"lama"-out openssl_管理员.pfx-inkey openssl_管理员密钥-在openssl中_管理员.crt
系统将提示您输入以前用于密钥文件的密码短语
您将提示为.pfx文件输入新的密码短语(可以是相同的密码)
文件openssl_管理员.pfx将生成
如果需要,您可以从密钥文件中删除密码短语(例如与curl一起使用时)
openssl rsa-在openssl中_管理员密钥-out openssl\u管理员_没有钥匙
2. 将证书导入/nwa服务\u ssl
使用SAP NetWeaver密钥存储服务创建的证书
返回NetWeaver密钥存储服务
转到https::50000/nwa
打开密钥存储内容配置->证书和密钥
突出显示您的SSL当前使用的视图(例如ICM\U SSL\U 38371)
单击复制条目以便我们可以复制我们先前创建的密钥文件
对证书重复
视图现在将有2个新条目,看起来像这样
使用OpenSSL创建的证书
返回NetWeaver密钥存储服务
进入https::50000/nwa
打开密钥存储内容配置->证书和密钥
突出显示您的SSL的当前使用视图(例如ICM\U SSL\U 38371)
单击导入条目
在新弹出窗口中选择X.509证书的条目类型
单击选择文件并找到我们先前使用OpenSSL创建的证书文件
现在您将得到一个类似于的新条目低于
3。由于我们更改了keystore视图,因此必须更新PSE文件
转到/nwa->configuration->SSL
您将看到一条警告消息,说明PSE文件没有更新。但是首先我们必须删除旧的私钥,因为只有一个私钥可以使用
单击编辑,然后突出显示密钥ssl凭据
单击删除->保存->ICM立即重新启动
ICM的更新应该更新PSE文件,但是如果您仍然收到警告,那么我们可以更新PSE文件
单击导出密钥库到PSE文件
ssl的最终视图配置
进入https://:50001/nwa