Configuración de los certificados SSL

Para configurar Rational Connector en un servidor Apache Tomcat Application Server, debe configurar la autenticación SSL.

Acerca de esta tarea

Puede configurar el lado del cliente y el lado del servidor de la conexión SSL.

Estos son los pasos generales para configurar el lado del servidor de la conexión SSL:
  1. Suprima el par de claves/certificado SSL predeterminado.
  2. Genere las claves pública y privada en el nuevo almacén de claves del servidor para que contenga sólo las claves necesarias para el lado del servidor Tomcat para una conexión SSL.
  3. Exporte el certificado de confianza que contiene la clave pública del nuevo almacén de claves de servidor.
Estos son los pasos generales para configurar el lado del cliente de la conexión SSL:
  1. Importe el certificado de confianza del servidor ABAP que contiene la clave pública en el nuevo almacén de confianza del cliente.
  2. Configure el servidor Tomcat de modo que apunte a este nuevo almacén de confianza del cliente.
Importante: En los pasos se utilizan las vías de acceso siguientes. Si lo necesita, sustituya las vías de acceso por las vías de acceso que utiliza en el entorno de instalación.
  • Raíz del servidor: c:\Archivos de programa\IBM\SapConnector
  • Certificado SSL de Tomcat: c:\IBM Rational\client.crt
  • Certificado SSL de ABAP; c:\IBM Rational\ABAPclientSSL.crt

Procedimiento

Configurar el lado del servidor de la conexión SSL.

  1. Vaya al directorio en el que está ubicado el archivo de almacén de claves.
    DirInstalaciónSAPC\server\tomcat\

    Ejecute los mandatos de herramienta de claves en el directorio DirInstalaciónSAPC\server\tomcat\.

  2. Suprima el certificado ibm-team. Ejecute este mandato:
    "c:\Archivos de programa\IBM\SapConnector\server\jre\bin\keytool.exe"
    -delete -v -keystore "c:\Archivos de programa\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore"
    -storepass ibm-team -alias ibm-team
  3. Genere un certificado nuevo en el almacén de claves.
    1. Ejecute este mandato:
      "c:\Archivos de programa\IBM\SapConnector\server\jre\bin\keytool.exe -genkey -v -keystore "c:\Archivos de programa\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -keyalg RSA -alias ibm-team
      Conforme se ejecuta el proceso de generación de certificados, se le solicita que especifique información.
    2. El programa de herramienta de claves le solicita el nombre y el apellido. Debe especificar el nombre de dominio calificado del servidor Tomcat en el que está desplegando el conector. Por ejemplo, utilice vmw3319.wdf.sap.corp.
      Aviso: El nombre de host calificado del servidor debe coincidir con el nombre que especifique para el certificado. De lo contrario, se produce un error de certificado al conectar. En función del navegador utilizado para conectar, no podrá aceptar el certificado y es posible que parte del contenido quede oculto.
    3. Utilice la información de la empresa para completar las solicitudes restantes. Las demás partes del nombre distinguido no importan, salvo el código de país, que debe ser un código de dos letras permitido (por ejemplo, US o DE). Para la solicitud de contraseña de clave, pulse RETURN para utilizar la misma contraseña que la contraseña de almacén de claves.

      Estos valores solo tienen efectos informativos.

      Después de completar las solicitudes, se cambia el archivo ibm-team-ssl.keystore de modo que contiene un certificado autofirmado basado en la información de su empresa.
  4. Exporte el archivo ibm-team-ssl.keystore a un archivo. Escriba este mandato.
    "c:\Archivos de programa\IBM\SapConnector\server\jre\bin\keytool.exe" -export -v -keystore "c:\Archivos de programa\IBM\SapConnector\server\tomcat\ibmteam-ssl.keystore" -storepass ibm-team -alias ibm-team -file "c:\IBM Rational\client.crt" 

Configurar el lado del cliente de la conexión SSL:

  1. Importe el archivo de almacén de claves en el almacén de claves de ABAP. Escriba este mandato:
    "c:\Archivos de programa\IBM\SapConnector\server\jre\bin\keytool.exe" -import -v -keystore "c:\IBM Rational\sslclient.jks" -storepass changeit -alias ssl -file "c:\IBM Rational\ABAPclientSSL.crt"
  2. Cuando se le solicite una contraseña, escriba changeit.
  3. Cuando se le solicite Confiar en este certificado, escriba Yes. Se visualiza un mensaje que indica que el certificado se ha añadido al almacén de claves.
  4. Edite "c:\Archivos de programa\IBM\SapConnector\server\tomcat\bin\catalina.bat"
    1. Busque la línea que contiene el texto :execCmd
    2. Añada el código siguiente justo después de la línea encontrada.
      set CATALINA_OPTS="-Djavax.net.ssl.trustStore=c:\IBM Rational\sslclient.jks" "-Djavax.net.ssl.trustStorePassword=changeit"
    3. Guarde el archivo y ciérrelo.

Qué hacer a continuación

Configure y despliegue la aplicación web del conector de Apache Tomcat, consulte Inicio de Apache Tomcat.

Comentarios