香港带宽_数据库实验六_高性价比

小七 2019年10月25日 21:23 141 0

本博客描述了在CloudFoundry环境中使用SAP云集成时如何使用客户端证书设置安全的入站通信。它描述了可用的不同配置选项，企业内部软件，并提供了需要在何处配置的逐步说明。博客的另一个重点是使用自定义角色进行入站授权。

集成项目中的一个典型任务是将远程系统连接到SAP云集成租户。在进入入站通信的详细配置之前，让我们先简要了解一下基础知识。

安全系统配置的基础知识

远程系统可以充当消息的发送者或接收者。根据设置的通信方向，设置和详细配置过程有所不同：远程系统是应该向集成平台发送消息还是以其他方式发送消息。

有关不同身份验证和授权选项的更多详细信息，人工智能本科，请参阅SAP云集成文档，"将客户系统连接到云集成"一节。

本博客关注云铸造环境中的入站通信。Neo环境中的入站通信在blog"How to Setup Secure HTTP Inbound Connection with Client Certificates"中进行了描述。Neo和Cloud Foundry的出站通信配置在blog"How to Setup Secure Outbound HTTP Connection using Keystore Monitor"（如何使用密钥库监视器设置安全的出站HTTP连接）中进行了描述。

对于针对云集成租户的基于HTTPS的通信，无需在集成租户中维护密钥库。发送方系统和负载平衡器需要获得如下所述配置的证书和密钥。此设置可用于使用用户和密码的基本身份验证。

对于Cloud Foundry中云集成租户中基于客户端证书的身份验证和授权，租户提供的私钥对（别名sap\ U cloudintegrationcertificate）需要在密钥库中可用，并且客户端证书用于入站呼叫需要在服务密钥中维护。如果使用不推荐的选项直接在集成流中配置客户机证书，物联网的应用实例，则服务实例中还需要客户机证书。这与Neo环境中的配置不同。

发送方系统中的配置

从负载平衡器添加根证书

为了通过HTTPS进行安全入站通信，发送方系统必须信任负载平衡器。因此，负载均衡器的根证书需要是其信任存储的一部分。

获取负载均衡器根证书的最简单方法是在云集成租户上使用连接性测试。连接测试可在Web的Operations视图中的Manage Security部分中找到。从Overview页面选择Connectivity Tests磁贴将打开提供不同协议测试的测试工具。要通过负载平衡器连接到云集成租户以获取根证书，请选择TLS选项。在主机字段中输入运行时节点的URL（要从发送方后端调用的URL）。运行时节点的主机名的格式为：.cfapps.。hana.ondemand.com. 您可以通过在"操作"视图中的"管理集成内容"下选择一个磁贴并选择应调用的集成流来找到此URL。

执行连接测试。如果出现错误，您可能必须取消选中"验证服务器证书"选项。响应屏幕提供来自负载平衡器的证书列表，因为负载平衡器终止了SSL/TLS连接。您可以使用下载选项下载证书。A证书.zip文件是在本地下载目录中创建的，其中包含所有证书。从*zip文件中选择根证书的*.cer文件，并将其导入到发送方系统的信任存储中。

创建客户端证书

此外，如果要使用客户端证书身份验证，发送方系统密钥库需要包含一个由负载平衡器支持的CA之一签名的密钥对。

注意，只有根证书被导入到SAP负载平衡器的密钥库中。因此，作为客户，您必须始终将整个证书链分配给证书，以使连接的组件能够评估信任链。

有关支持的CA的更多信息：SAP支持的负载平衡器根证书。

将客户端证书下载为PEM编码的X.509证书，稍后创建服务密钥时需要此项。

在CF

中的云集成租户上的配置对于使用客户端证书的安全入站通信，在云集成租户上，需要在云集成租户的密钥库中提供别名为sap\u cloudintegrationcertificate的私钥对。此外，还需要配置基于客户端证书的授权检查所需的客户端证书。通常有两种配置选项：

基于角色的授权在集成流中直接维护证书（不建议）

注意：SAP不建议使用基本身份验证，因为安全方面，有关详细信息，请参阅文档章节"基本身份验证"。

建议的配置是使用用户角色作为集成流发送方通道中的授权选项，并在创建服务密钥期间导入客户端证书。

首先，企业信息化应用，您需要决定是否要使用SAP预交付角色ESBMessaging.send发送或者使用自定义角色调用集成流

使用角色ESBMessaging.send发送