SSL-Zertifikate konfigurieren

Wenn Sie Rational Connector auf einem Apache Tomcat-Anwendungsserver konfigurieren, müssen Sie die SSL-Authentifizierung konfigurieren.

Informationen zu diesem Vorgang

Sie konfigurieren die Serverseite und die Clientseite der SSL-Verbindung.

Im Folgenden sind die allgemeinen Schritte zum Konfigurieren der Serverseite der SSL-Verbindung aufgeführt:
  1. Löschen Sie das Standard-SSL-Schlüsselpaar/-Zertifikat.
  2. Generieren Sie den öffentlichen und den privaten Schlüssel im neuen Serverschlüsselspeicher, sodass nur die Schlüssel enthalten sind, die von der Tomcat-Serverseite für eine SSL-Verbindung erforderlich sind.
  3. Exportieren Sie das vertrauenswürdige Zertifikat, das den öffentlichen Schlüssel aus dem neuen Serverschlüsselspeicher enthält.
Im Folgenden sind die allgemeinen Schritte zum Konfigurieren der SSL-Verbindung auf der Clientseite aufgeführt:
  1. Importieren Sie das vertrauenswürdige Zertifikat vom ABAP-Server, das den öffentlichen Schlüssel enthält, in den neuen Client-Truststore.
  2. Konfigurieren Sie den Tomcat-Server so, dass er auf diesen neuen Client-Truststore verweist.
Wichtig: In den Schritten werden die folgenden Pfade verwendet. Ersetzen Sie bei Bedarf die Pfade durch die Pfade, die Sie in Ihrer Installationsumgebung verwenden.
  • Serverstammverzeichnis: c:\Programme\IBM\SapConnector
  • Tomcat-SSL-Zertifikat: c:\IBM Rational\client.crt
  • ABAP-SSL-Zertifikat; c:\IBM Rational\ABAPclientSSL.crt

Vorgehensweise

Konfigurieren Sie die Serverseite der SSL-Verbindung.

  1. Wechseln Sie in das Verzeichnis, in dem sich die Schlüsselspeicherdatei befindet.
    SAPC-Installationsverzeichnis\server\tomcat\

    Führen Sie die keytool-Befehle im Verzeichnis SAPC-Installationsverzeichnis\server\tomcat\ aus.

  2. Löschen Sie das Zertifikat ibm-team. Führen Sie den folgenden Befehl aus:
    "c:\Programme\IBM\SapConnector\server\jre\bin\keytool.exe"
    -delete -v -keystore "c:\Programme\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore"
    -storepass ibm-team -alias ibm-team
  3. Generieren Sie ein neues Zertifikat im Schlüsselspeicher.
    1. Führen Sie den folgenden Befehl aus:
      "c:\Programme\IBM\SapConnector\server\jre\bin\keytool.exe -genkey -v -keystore "c:\Programme\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -keyalg RSA -alias ibm-team
      Während der Generierung des Zertifikats werden Sie aufgefordert, Informationen einzugeben.
    2. Das Programm keytool fordert Sie auf, Ihren Vornamen und Ihren Nachnamen einzugeben. Sie müssen den vollständig qualifizierten Domänennamen des Tomcat-Servers eingeben, auf dem Sie den Connector implementieren. Beispiel: vmw3319.wdf.sap.corp
      Warnung: Der vollständig qualifizierte Hostname des Servers muss mit dem Namen übereinstimmen, den Sie für das Zertifikat eingegeben haben. Andernfalls resultiert beim Herstellen einer Verbindung ein Sicherheitszertifikatsfehler. Je nach dem Browser, der zum Herstellen der Verbindung verwendet wird, können Sie möglicherweise das Zertifikat nicht akzeptieren und Inhalte können verborgen sein.
    3. Verwenden Sie die Daten Ihres Unternehmens, um die übrigen Eingabeaufforderungen zu beantworten. Die anderen Teile des definierten Namens spielen keine Rolle, mit Ausnahme des Landescodes, der ein gültiger Code aus zwei Buchstaben sein muss (beispielsweise "US" oder "DE"). Drücken Sie bei der Eingabeaufforderung für das Schlüsselkennwort die Eingabetaste, um dasselbe Kennwort wie für den Schlüsselspeicher zu verwenden.

      Diese Werte dienen nur zu Informationszwecken.

      Nachdem Sie die Eingabeaufforderungen beantwortet haben, wird die Datei ibm-team-ssl.keystore so geändert, dass sie ein auf Ihren Unternehmensinformationen basierendes selbst signiertes Zertifikat enthält.
  4. Exportieren Sie die Datei ibm-team-ssl.keystore in eine Datei. Geben Sie diesen Befehl ein.
    "c:\Programme\IBM\SapConnector\server\jre\bin\keytool.exe" -export -v -keystore "c:\Programme\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team -file "c:\IBM Rational\client.crt" 

Konfigurieren Sie die Clientseite der SSL-Verbindung:

  1. Importieren Sie die Schlüsselspeicherdatei in den ABAP-Schlüsselspeicher. Geben Sie den folgenden Befehl ein:
    "c:\Programme\IBM\SapConnector\server\jre\bin\keytool.exe" -import -v -keystore "c:\IBM Rational\sslclient.jks" -storepass changeit -alias ssl -file "c:\IBM Rational\ABAPclientSSL.crt"
  2. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie changeit ein.
  3. Wenn Sie zur Eingabe für Trust this certificate (Diesem Zertifikat vertrauen) aufgefordert werden, geben Sie Yes (Ja) ein. Es wird eine Nachricht darüber angezeigt, dass das Zertifikat dem Schlüsselspeicher hinzugefügt wurde.
  4. Bearbeiten Sie die Datei "c:\Programme\IBM\SapConnector\server\tomcat\bin\catalina.bat".
    1. Suchen Sie die Zeile, die den Text :execCmd enthält.
    2. Fügen Sie unmittelbar nach der gefundenen Zeile folgenden Code ein.
      set CATALINA_OPTS="-Djavax.net.ssl.trustStore=c:\IBM Rational\sslclient.jks" "-Djavax.net.ssl.trustStorePassword=changeit"
    3. Speichern und schließen Sie die Datei.

Nächste Schritte

Konfigurieren Sie die Connectorwebanwendung von Apache Tomcat aus und implementieren Sie sie (siehe Apache Tomcat starten).

Feedback