Configurazione dei certificati SSL

Per configurare Rational Connector su un Apache Tomcat Application Server, è necessario configurare l'autenticazione SSL.

Informazioni su questa attività

Configurare il lato server e il lato client della connessione SSL.

Viene qui di seguito indicata la procedura di alto livello per configurare il lato server della connessione SSL:
  1. Eliminare il certificato/la coppia di chiavi SSL predefiniti.
  2. Generare le chiavi pubbliche e private nel nuovo archivio chiavi del server in modo che contenga solo le chiavi occorrenti al lato server Tomcat per una connessione SSL.
  3. Esportare il certificato di attendibilità contenente la chiave pubblica dal nuovo archivio chiavi del server.
Viene qui di seguito indicata la procedura di alto livello per configurare il lato client della connessione SSL:
  1. Importare il certificato di attendibilità dal server ABAP contenente la chiave pubblica nel nuovo archivio attendibile del client.
  2. Configurare il server Tomcat affinché punti a questo nuovo archivio attendibile del client.
Importante: Nella procedura sono utilizzati i seguenti percorsi. Se necessario, sostituire i percorsi con quelli utilizzati nel proprio ambiente di installazione.
  • Root server: c:\Program Files\IBM\SapConnector
  • Certificato SSL Tomcat: c:\IBM Rational\client.crt
  • Certificato SSL ABAP; c:\IBM Rational\ABAPclientSSL.crt

Procedura

Configurare il lato server della connessione SSL.

  1. Passare alla directory in cui è ubicato il file archivio chiavi.
    SAPCInstallDir\server\tomcat\

    Eseguire i comandi keytool dalla directory SAPCInstallDir\server\tomcat\.

  2. Eliminare il certificato ibm-team. Eseguire questo comando:
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -delete -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team
  3. Generare un nuovo certificato nell'archivio chiavi.
    1. Eseguire questo comando:
      "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe -genkey -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -keyalg RSA -alias ibm-team
      Durante l'esecuzione del processo di generazione del certificato, viene richiesto di immettere delle informazioni.
    2. Il programma keytool richiede il proprio nome e cognome. È necessario immettere il nome dominio completo del server Tomcat cui si sta distribuendo il connettore. Ad esempio, utilizzare vmw3319.wdf.sap.corp.
      Avvertenza: il nome host completo del server deve corrispondere al nome che si immette per il certificato. In caso contrario, risulterà un errore di certificato di sicurezza quando ci si connette. A seconda del browser che viene utilizzato per connettersi, potrebbe non essere possibile accettare il certificato e alcuni contenuti potrebbero essere nascosti.
    3. Utilizzare le informazioni della società per completare le altre richieste. Le altre parti del DN (distinguished name) non sono rilevanti, fatta eccezione per il codice paese, che deve essere un codice di due lettere valido (ad esempio, US o IT). Per la richiesta della password della chiave, premere INVIO per utilizzare la stessa password dell'archivio chiavi.

      Questi valori sono solo a scopo informativo.

      Una volta completate le richieste, il file ibm-team-ssl.keystore viene modificato in modo che contenga un certificato autofirmato che si basa sulle informazioni della propria società.
  4. Esportare il file ibm-team-ssl.keystore in un file. Immettere questo comando.
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -export -v -keystore "c:\Program Files\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team -file "c:\IBM Rational\client.crt" 

Configurare il lato client della connessione SSL:

  1. Importare il file archivio chiavi nell'archivio chiavi ABAP. Immettere questo comando:
    "c:\Program Files\IBM\SapConnector\server\jre\bin\keytool.exe" -import -v -keystore "c:\IBM Rational\sslclient.jks" -storepass changeit -alias ssl -file "c:\IBM Rational\ABAPclientSSL.crt"
  2. Quando viene richiesta la password, immettere changeit.
  3. Quando viene chiesto Trust this certificate, immettere Yes. Un messaggio viene visualizzato per indicare che il certificato è stato aggiunto all'archivio chiavi.
  4. Modificare "c:\Program Files\IBM\SapConnector\server\tomcat\bin\catalina.bat"
    1. Individuare la riga che contiene il testo :execCmd
    2. Aggiungere il seguente codice subito dopo la riga individuata.
      set CATALINA_OPTS="-Djavax.net.ssl.trustStore=c:\IBM Rational\sslclient.jks" "-Djavax.net.ssl.trustStorePassword=changeit"
    3. Salvare il file e chiudere.

Operazioni successive

Impostare e distribuire l'applicazione Web del connettore da Apache Tomcat, consultare Avvio di Apache Tomcat.

Feedback