使用SAP NetWeaver Application Server ABAP 7.40 SP8,可以激活SAP NetWeaver AS ABAP服务器组件之间经过加密和验证的通信。此安全措施非常易于配置,并允许替换迄今为止用于保护服务器组件之间通信的ACL(有关ACL配置,请参阅SAP Help Doku示例)。这将不会在本博客中解释。)
有几个选项可以保护ABAP服务器组件之间的通信。一种可能性是保护服务器组件所在的网段,以确保不能从网段外部访问它们。仍然可以使用ACL。
新选项允许使用SSL加密和验证系统组件之间的通信。
在激活安全服务器通信后的第一次系统重启期间,SAP启动服务设置证书基础结构(系统内部PKI)。SAP NetWeaver AS for ABAP服务器的所有实例都集成到PKI中,并接收一个带有私钥的实例特定证书,可用于验证和加密其与其他系统实例的系统内部通信。
证书将自动续订。根PSE文件存储在文件系统的安全存储中。所有其他实例PSE文件也使用存储在文件系统的安全存储中的PIN进行加密。
设置PKI后,系统实例之间的所有通信都使用SSL进行加密和身份验证。
请记住:此加密仅对系统内部通信有效。所有外部通信(例如与外部RFC服务器的RFC通信)都不加密,除非通过SNC或SSL单独完成。系统PKI的信任只能在系统内部使用。
通过安全服务器通信和内部PKI加密的"红色"连接"绿色"连接是可以使用SSL保护的外部HTTP通信"蓝色"连接是可以使用SNC保护的外部RFC通信"黑色"连接是到消息服务器的连接。它们用于收集应用程序服务器的列表。"紫色"连接是本地主机内部连接如SAP帮助文档中所述,可以保护"黄色"内部ICM通信。用圆圈(ICM和GW)描述的连接是这些组件之间的内部RFC或HTTP通信。
系统PKI不仅用于安全服务器通信。
由于742 sapstartsrv始终初始化系统PKI,并提供基于https的对其web服务方法的访问,并提供证书系统PKI。Sapstartsrv还使用系统PKI调用同一系统中的另一个Sapstartsrv实例几个ABAP事务使用系统PKI与同一系统的sapstartsrv通信(主要是ASCS实例)sapcontrol可以使用带有"-systempki"选项的系统PKI。安装和升级使用此选项。
使用SSL会导致更高的CPU消耗和适度的性能影响(~1%)对于具有高负载内部RFC通信的ABAP服务器,软件企业条件,人工智能知识体系,性能影响可能更大。如果客户组件通过内部端口对服务器组件进行寻址,这将不再可能,淘客基地,因为外部组件不能成为内部PKI基础结构的一部分。外部组件现在必须通过外部端口进行通信。所有外部SAP组件也使用外部端口,大数据推荐,例如GWMON MSMON DPMON或LGTST。对于SAP工具SAPEVT,请检查SAP Note 2000417
在事务SM51中,您将看到SSL现在已被使用:
另请参阅SAP帮助文档。
重要提示:参数system/secure\u通信可以安全地切换回关闭位置,而不会损害系统。
可以检查系统PKI的可用性使用"sapcontrol"(不更改系统中的任何内容)。为此,请使用:
sapcontrol-nr-systempki[-host][-debug]-函数AccessCheck Stop
备注:
结果:如果没有发现错误,您应该得到"AccessCheck OK"。参数需要包含本地实例的概要文件。通过参数"-nr"和"-host",可以测试与使用系统PKI的所有系统实例的连接。参数"-debug"允许跟踪SSL握手
通常不需要重置PKI,因为整个证书生命周期是自动触发的。如果您想强制执行,在"sapcontrol"中有两个web服务方法,财务大数据,系统内部也使用它们来维护PKI:
UpdateSystemPKI[]"更新整个系统PKIUpdateInstancePSE[]"更新实例PSE
如果参数force=0(默认值),则仅在系统认为有必要时使用force=1执行更新。
要检查内部PKI,存在一些可以在SE38中执行的ABAP检查报告。它们不应显示任何错误消息:
SSFPKITEST1检查系统PKI(根和实例PSE)SSFPKITEST2检查系统的远程应用服务器SSFPKITEST3显示应用服务器
Sapcontrol SSL用法:Note 1642349的证书和证书列表使用系统PKI的问题:注意2200230
如果您需要SAP支持部门的帮助,以下信息有助于分析系统PKI的问题:
将文件安全存储在$(rec/ssfs\u datapath)中如果可用,安全地将密钥文件存储在$(rec/ssfs\u keypath)中所有实例的实例数:$(DIR\u Instance)/sec/sap\u system\u pki_实例.pse
