Настройка сертификатов SSL

Для настройки Rational Connector на Apache Tomcat Application Server необходимо настроить идентификацию SSL.

Об этой задаче

Можно настроить соединение SSL на стороне сервера и на стороне клиента.

Ниже рассмотрена общая процедура настройки соединения SSL на стороне сервера:
  1. Удалите пару ключей/сертификат SSL.
  2. В новом хранилище ключей сервера создайте общий и личный ключи, необходимые для соединения SSL со стороны сервера Tomcat.
  3. Экспортируйте доверенный сертификат, содержащий общий ключ, из нового хранилища ключей сервера.
Ниже рассмотрена общая процедура настройки соединения SSL на стороне клиента:
  1. Импортируйте в хранилище ключей клиента доверенный сертификат, содержащий общий ключ, с сервера ABAP.
  2. Укажите новое хранилище ключей клиента в конфигурации сервера Tomcat.
Важное замечание: Используется следующее расположение компонентов. Если необходимо, измените пути на те, которые используются в вашей среде.
  • Корневой каталог сервера: c:\Program Files\IBM\SapConnector
  • Сертификат SSL Tomcat: c:\IBM Rational\client.crt
  • Сертификат SSL ABAP: c:\IBM Rational\ABAPclientSSL.crt

Процедура

Настройка соединения SSL на стороне сервера.

  1. Перейдите в каталог, где находится файл хранилища ключей.
    SAPCInstallDir\server\tomcat\

    Запустите программу keytool из каталога SAPCInstallDir\server\tomcat\.

  2. Удалите сертификат ibm-team. Выполните команду:
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -delete -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team
  3. Создайте новый сертификат в хранилище ключей.
    1. Выполните команду:
      "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe -genkey -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -keyalg RSA -alias ibm-team
      Как только процесс генерирования сертификата будет запущен, пользователю будет предложено ввести определенную информацию.
    2. На запрос программы keytool введите свое имя и фамилию. Введите полное доменное имя сервера Tomcat для развертывания коннектора. Например, vmw3319.wdf.sap.corp.
      Внимание: Полное имя сервера должно соответствовать имени, которое вводится для сертификата. В противном случае при подключении возникнет ошибка сертификата безопасности. В зависимости от используемого браузера возможны случаи, когда сертификат не удается принять, или часть информации остается недоступной.
    3. Введите информацию о компании. Точность ответов на оставшуюся часть вопросов не имеет особого значения за исключением кода страны, который должен соответствовать принятым соглашениям (например, US или DE). В ответ на запрос пароля нажмите RETURN, если предполагается использовать пароль хранилища ключей.

      Эти значения используются только в информационных целях.

      После ответа на все вопросы файл ibm-team-ssl.keystore будет содержать собственный сертификат на основе информации о компании.
  4. Экспортируйте файл ibm-team-ssl.keystore. Введите команду:
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -export -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team -file "c:\IBM Rational\client.crt" 

Настройка соединения SSL на стороне клиента:

  1. Импортируйте файл хранилища ключей в хранилище ключей ABAP. Введите команду:
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -import -v -keystore "c:\IBM Rational\sslclient.jks" -storepass changeit -alias ssl -file "c:\IBM Rational\ABAPclientSSL.crt"
  2. В ответ на запрос пароля, введите changeit.
  3. Для ответа на вопрос Доверять этому сертификату выберите Да. Отображается сообщение о том, что сертификат был добавлен в хранилище ключей.
  4. Внесите изменения в файл "c:\Program Files\IBM\SapConnector\server\tomcat\bin\catalina.bat"
    1. Найдите строку, содержащую текст :execCmd.
    2. Добавьте после нее следующий код.
      set CATALINA_OPTS="-Djavax.net.ssl.trustStore=c:\IBM Rational\sslclient.jks" "-Djavax.net.ssl.trustStorePassword=changeit"
    3. Сохраните и закройте файл.

Дальнейшие действия

Настройте и разверните веб-приложение коннектора из Apache Tomcat, обратитесь к разделу Запуск Apache Tomcat.

Комментарии