SSL-Konfiguration

Gültig für: enaio® Version 10.10

Für die Kommunikation mit SAP ist in der Regel das Einspielen eines Zertifikats für Datenkonsistenz und Sicherheit, die entsprechende Anpassung der Konfigurationsdatei repositorymanager-prod.yml, das Einbinden des Zertifikats in enaio® service-manager und entsprechende Anpassungen der SAP SSL Konfiguration notwendig.

Zertifikat

Für das Erzeugen eines Zertifikats für Entwicklungs- und Testsysteme kann die freie Software OpenSSL verwendet werden. Nach der Installation von OpenSSL können beispielsweise folgenden Befehle ausgeführt werden, um ein Zertifikat zu erzeugen. Mit den ersten Befehlen wird ein individuelles Passwort des Zertifikats und dessen Parameter definiert.

set pass=pass:optimal
set caSubj=/C=DE/ST=DE-DE/L=Berlin/CN=localhost

openssl genrsa -des3 -passout %pass% -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj %caSubj% -passin %pass%
openssl pkcs12 -inkey ca.key -in ca.crt -export -out ca.p12 -passin %pass% -passout %pass%

Durch das Ausführen werden die Dateien ca.crt, ca.key und ca.p12 erzeugt.

Die Datei ca.p12 kopieren Sie in das Verzeichnis, das in der Konfigurationsdatei repositorymanager-prod.yml angegeben wird. Beispiel:

    \service-manager\apps\repositorymanager

Konfigurationsdatei repositorymanager-prod.yml

Die Konfigurationsdatei repositorymanager-prod.yml aus dem Verzeichnis \services\service-manager\config\ muss um folgende Einträge erweitert werden:

eureka:
  instance:
    ip-address: localhost
    hostname: localhost
    non-secure-port-enabled: false
    secure-port-enabled: true
    secure-port: ${server.port}
    statusPageUrl: https://localhost:${eureka.instance.secure-port}/manage/info
    healthCheckUrl: https://localhost:${eureka.instance.secure-port}/manage/health
    secureHealthCheckUrl: https://localhost:${eureka.instance.secure-port}/manage/health
    homePageUrl: https://localhost:${eureka.instance.secure-port}/

server:
  ssl:
    enabled: true
    key-store-type: PKCS12
    key-store: <Path_service-manager>/apps/repositorymanager/ca.p12
    key-store-password: optimal
    key-alias: '1'
    enabled-protocols: 'TLSv1.2,TLSv1.3'

security:
  require-ssl: true
Anpassungen:
eureka:instance:ip‑address IP-Adresse vom Microservice 'repository-manager'
eureka:instance:hostname Hostname
server:ssl:key-store Pfad zum Zertifikat
server:ssl:key‑store:password Passwort des Zertifikats

Danach muss der Microservice 'repository-manager' neu gestartet werden.

Einbinden in enaio® service-manager

Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer.

Eingabeaufforderung:

  • Führen Sie in der Eingabeaufforderung folgende Befehle aus:

    <Path_service-manager>\jdk\bin\keytool ^
        -importkeystore -srckeystore <Path_service-manager>\apps\archiveservice\ca.p12 ^
        -srcstorepass optimal -destkeystore <Path_service-manager>\jdk\jre\lib\security\cacerts ^
        -srcstoretype PKCS12 -deststoretype JKS ^
        -deststorepass changeit
    Anpassungen:
    -importkeystore -srckeystore Pfad zum Zertifikat
    -srcstorepass Passwort des Zertifikats
    -deststorepass

    Passwort der Zertifikatsverwaltung

    Default: changeit

Danach muss enaio® service-manager neu gestartet werden.

SAP-Konfiguration

  • Rufen Sie die Transaktion 'STRUST' auf.

  • Gehen Sie zu 'SSL Client Standard'.

  • Wechseln Sie in den Edit-Modus.

  • Klicken Sie auf den Importieren-Button.

  • Gegen Sie das Zertifikat an.

  • Wählen Sie 'Add to Certificate List'.

  • Speichern Sie die Konfiguration.

Zusätzlich muss der Hostnamen des jeweiligen SAP-Systems so bearbeitet werden, dass der Hostname des importierten Zertifikats auf die IP-Adresse des Servers abgebildet wird, für den das Zertifikat ausgestellt wurde.

AL- und ILM-Verbindungen

Für die AL- und ILM-Verbindungen müssen die HTTP-Server-Eingaben dem Hostnamen des Zertifikats entsprechen und nicht der IP-Adresse.

Aktivieren Sie im Abschnitt 'Logon&Security' die Option 'SSL active' und wählen Sie die entsprechende Zertifikatsliste aus, in die Sie zuvor das Zertifikat importiert haben.

Details zur Konfiguration finden Sie in den SAP-Dokumentationen.