主题
关于如何配置SAP Netweaver网关以便使用HTTPS连接,已经有很多指南。不管怎样,这是我的文件,它也应该作为我自己的文档。
在第一步中,私有云市场,需要为https设置netweaver网关/所以呢例如,淘客购物,您可以通过cal调用OData服务链接https://gateway:port/sap/opu/…
sap NetWeaver上的传输层安全ABAP
https://help.sap.com/sahelp\u nw74/helpdata/en/5d/cb88b33cad4f5da9dd77a3802e172f/content.htm?框架集=/en/77/6fb4308dbe40d6b6ac5903e95c2521/框架集.htm
SAPCryptoLibInside NetWeaver 74X SAPCRYPTOLIB的继任者在新的变体CommonCryptoLib 8中提供
以下步骤基于SAP注意:510007–在应用服务器ABAP上设置SSL
新增前修改必要的外形参数,云服务器主机,我们应该检查CommonCryptoLib及其变量是否可用
SE38并执行report RSPARAM
检查$(SAPCRYPTOLIB)是否已定义
您还可以检查是否在文件系统(例如在Windows上)上找到sapcrypto文件sapcrypto.dll)
转到事务RZ10,淘客佣金,用打开实例配置文件"Extendedmaintenance"
(信息:您还可以检查事务RZ11中的单个参数)
确保设置了以下值(如果未设置,则将其添加为新参数)
如果未设置变量$(SAPCRYPTOLIB)(在上一步中验证),使用$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)代替
icm/server_port_X=PROT=HTTPS,port=
用配置的端口数替换X(通常HTTPS port为1)
设置icm/HTTPS/verify_client以处理用户证书,它可以设置为0(禁止)/1(默认)(允许)或2(强制)
值login/certificate\u mapping\u rulebased将允许通过事务CERTRULE使用动态映射,oldnetweaver系统可能不支持。将此参数设置为1时,将不再使用手动输入到表VUSREXTID中的旧条目。
注意!更改配置文件参数后,您需要重新启动Netweaver系统
转到事务处理程序
右键单击"SSL服务器标准"并选择"创建"
为您的默认证书组织单位和公司名称输入值。请勿更改名称内的星号(*)。首先创建默认通配符证书的最佳实践。使用键长度2048。字段CA中的值应与CA的值匹配。稍后将用于签署此证书的相同CA。
我将使用自己的CA进行此测试…
我的CA证书:
将自动创建特定于实例的PSE。在这个测试环境中,我只有一个实例。
现在应该可以通过浏览器和https访问您的服务器:
我们可以启用ping服务进行进一步的测试。进入事务SICF,启用node/sap/bc/ping
通过访问https://:/sap/bc/ping在浏览器中测试ping服务
您应该会被询问用户和密码…
在验证后我们会看到一个成功屏幕
直到现在https证书仍然是自签名的,我们可以创建证书签名请求(复制到剪贴板或导出为csr文件),可以由CA签名。
因为我使用XCA(免费软件工具)来模拟我自己的CA,所以我可以在那里导入证书请求并签名。我导出了CSR响应"PEM
with Certificate chain"。这还将包括签名CA的公共证书。
提示:
我更喜欢将颁发者备用名称设置为IP:。这样,如果调用的是ip地址而不是fqdn,浏览器也将信任证书)。
最后在STRUST中导入证书响应
之后,您应该看到CA现在是服务器证书的新颁发者。
保存它。然后在浏览器中再次调用ping服务。如果您已将CA证书导入系统存储(在受信任的证书颁发机构下),您应该会看到浏览器现在信任您的服务器。
SAP网关现在已准备好进行正确的HTTPS通信…
您好
通配符证书如何。我找不到一张塞纳里奥的纸条?
非常感谢
"CN=*。dhcp.wdf.sap文件是一个通配符证书。实际上另外,大数据分析软件,使用特定于服务器的(非通配符)证书也不是一个好主意—只有当您的CA拒绝颁发通配符SSL服务器证书时才需要这样做。
所以,最简单的(也是最快速的)方法是:通过选择"sslserverstandard"PSE(左窗格)删除那些额外的服务器特定(非通配符)证书,按下鼠标右键并选择选项"Change"。出现一个新的显示(如上图所示);在那里用服务器特定的证书标记行,然后按"废物箱"按钮删除它们。
如何用XCA或其他方式签名?