SSL-Konfiguration

Für die Kommunikation mit SAP® für die ArchiveLink-Anbindung ist in der Regel das Einspielen eines Zertifikats für Datenkonsistenz und Sicherheit, die entsprechende Anpassung der Konfigurationsdatei rmalink-prod.yml, das Einbinden des Zertifikats in yuuvis® RAD service-manager und entsprechende Anpassungen der SAP® SSL Konfiguration notwendig.

Zertifikat

Für das Erzeugen eines Zertifikats für Entwicklungs- und Testsysteme kann die freie Software OpenSSL verwendet werden. Nach der Installation von OpenSSL können beispielsweise folgenden Befehle ausgeführt werden, um ein Zertifikat zu erzeugen. Mit den ersten Befehlen wird ein individuelles Passwort des Zertifikats und dessen Parameter definiert.

set pass=pass:optimal
set caSubj=/C=DE/ST=DE-DE/L=Berlin/CN=localhost

openssl genrsa -des3 -passout %pass% -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj %caSubj% -passin %pass%
openssl pkcs12 -inkey ca.key -in ca.crt -export -out ca.p12 -passin %pass% -passout %pass%

Durch das Ausführen werden die Dateien ca.crt, ca.key und ca.p12 erzeugt.

Die Datei ca.p12 kopieren Sie in das Verzeichnis, das in der Konfigurationsdatei rmalink-prod.yml angegeben wird.

Konfigurationsdatei rmalink-prod.yml

Die Konfigurationsdatei rmalink-prod.yml aus dem Verzeichnis \services\service-manager\config\ muss um folgende Einträge erweitert werden:

eureka:
  instance:
    ip-address: localhost
    hostname: localhost
    non-secure-port-enabled: false
    secure-port-enabled: true
    secure-port: ${server.port}
    statusPageUrl: https://localhost:${eureka.instance.secure-port}/manage/info
    healthCheckUrl: https://localhost:${eureka.instance.secure-port}/manage/health
    secureHealthCheckUrl: https://localhost:${eureka.instance.secure-port}/manage/health
    homePageUrl: https://localhost:${eureka.instance.secure-port}/

server:
  ssl:
    enabled: true
    key-store-type: PKCS12
    key-store: <Path_service-manager>/apps/rmalink/ca.p12
    key-store-password: password
    key-alias: '1'
    enabled-protocols: 'TLSv1.2,TLSv1.3'

security:
  require-ssl: true

Danach muss der Microservice 'rmalink' neu gestartet werden.

Einbinden in yuuvis® RAD service-manager

Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer.

Eingabeaufforderung:

• Führen Sie in der Eingabeaufforderung folgende Befehle aus:

  <Path_service-manager>\jdk\bin\keytool ^
      -importkeystore -srckeystore <Path_service-manager>\apps\rmalink\ca.p12 ^
      -srcstorepass optimal -destkeystore <Path_service-manager>\jdk\lib\security\cacerts ^
      -srcstoretype PKCS12 -deststoretype JKS ^
      -deststorepass changeit

  Anpassungen:

  -importkeystore -srckeystore	Pfad zum Zertifikat
  -srcstorepass	Passwort des Zertifikats
  -deststorepass	Passwort der Zertifikatsverwaltung Default: changeit

Danach muss yuuvis® RAD service-manager neu gestartet werden.

SAP®-Konfiguration

• Rufen Sie die Transaktion 'STRUST' auf.

• Gehen Sie zu 'SSL Client Standard'.

• Wechseln Sie in den Edit-Modus.

• Klicken Sie auf den Importieren-Button.

• Gegen Sie das Zertifikat an.

• Wählen Sie 'Add to Certificate List'.

• Speichern Sie die Konfiguration.

Zusätzlich muss der Hostnamen des jeweiligen SAP®-Systems so bearbeitet werden, dass der Hostname des importierten Zertifikats auf die IP-Adresse des Servers abgebildet wird, für den das Zertifikat ausgestellt wurde.

ArchiveLink-Verbindung

Für die ArchiveLink-Verbindung muss die HTTP-Server-Eingabe dem Hostnamen des Zertifikats entsprechen und nicht der IP-Adresse.

Aktivieren Sie im Abschnitt 'Logon&Security' die Option 'SSL active' und wählen Sie die entsprechende Zertifikatsliste aus, in die Sie zuvor das Zertifikat importiert haben.

Details zur Konfiguration finden Sie in den SAP®-Dokumentationen.