内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

云存储_163企业邮箱登录_便宜的

2021-07-12 02:36 出处:欧普曼云计算 人气: 评论(0

证书生命周期管理是一种自动续订证书的解决方案。它是SAP Single Sign-on产品的一部分。

本博客介绍了安全登录服务器的配置,好评返现图片,以及如何连接AS ABAP和AS Java。配置远程CA或使用命令行客户端不是本博客的一部分,可能会在以后的文章中出现。

本博客假设您熟悉一般证书生命周期管理流程。

需要安装安全登录服务器(SLS)。此应用程序基本上可以部署到任何最新的AS Java中。

还需要具有SecureLoginAdministrationConsole(SLAC)管理访问权限的用户。

AS ABAP需要足够的最新版本以支持CLM客户端。资料见附注2452425。作为Java(作为客户机)的Releaseprerequisites可以在这里找到https://help.sap.com/viewer/df185fd53bb645b1bd99284ee4e4a750/3.0/en-US/48f05021dcdb4f6b992579d2ad228c4f.html。

拥有NWA(基本上是管理员权限)和SLAC(SLAC\u SUPERADMIN)权限的用户。

在SLAC中开始配置之前,需要创建系统基于证书的身份验证的登录堆栈

基于证书的身份验证的配置登录堆栈

转到SLS的NWA。进入登录堆栈配置(NWA->configuration->Authentication and Single Sign-On)。

->Add

选择一些名称,反映这是CLM的客户机身份验证部分的logonon堆栈。->创建

登录堆栈只有一个登录模块:SecureLoginModuleUserDelegationWithSL需要设置三个属性:Rule1.subjectName:可以使用正则表达式筛选特定的证书主题。使用"(.*"(不带引号)将禁用筛选器。但是,证书的CN仍然需要与稍后在SLAC中配置的名称之一匹配。Rule1.issuerName:与主题名称规则类似,它可以用于筛选特定的发行者。对根CA的信任仍然需要存在。所以大多数情况下,禁用带有"(.*)"的过滤器(不带引号)就足够了。UserMappingMode:需要设置为"VirtualUser"(不带引号)。因为系统在UME中不作为用户存在,返利联盟,所以我们将证书映射到虚拟用户。这些在SLAC配置中过滤。

此登录堆栈稍后用于所有应用程序配置文件。

配置证书配置文件

需要创建以下证书配置文件:

注册代理配置文件(用于注册)每个所需的证书类型一个配置文件通常这是SNC公司TLS服务器证书TLS客户端证书

通常需要两个TLS服务器证书配置文件。一个用于尚未具有使用者备用名称(SAN)的证书,其中SAN是从公用名称创建的,另一个用于已具有SAN的证书。

配置文件是通过SLAC创建的:

SLAC->配置文件管理->身份验证配置文件->创建

选择一个反映这是RA配置文件的名称。作为客户机类型,请选择"应用程序服务器配置文件",并为身份验证选择一个登录堆栈,该堆栈接受基于密码的身份验证。这是必要的,因为AS ABAP和AS Java中的客户端工具只支持通过用户和密码进行身份验证。

配置证书属性。设置组织的国家代码和名称。作为密钥长度,目前一些官方机构建议至少3000位。因此,大多数审计人员检查证书是否至少有3000位。选择应颁发这些证书的CA。这可以是远程CA或本地CA.

为此配置文件配置端点。配置文件类型为"注册代理",需要一个客户证书模板作为模板。

这些配置文件用于续订过程,大数据培训班,即为特定目的的证书签名。它们都遵循相似的模式,并且仅通过一些特定于配置文件的配置来区分。

首先,我们将看到配置对所有类型都有效。然后我们将看到针对不同配置文件的配置。

->创建新配置文件

为配置文件提供相关名称和描述,选择应用程序服务器配置文件并使用ClientCertCLM登录堆栈作为身份验证策略。->下一步

选择相关的发行CA->下一步

选择相关的证书模板。->下一步

=>编辑配置文件

输入一个明确的名称(上述示例适用于存在SubjectAlternativeNames的TLS服务器配置文件)。

此配置文件适用于请求已包含一个或多个SubjectAlternativeNames的TLS服务器证书。对于使用相对可分辨名称"DNS=…"作为DN的一部分创建的续订或证书,通常是这种情况。

您可以选择保持传入主题不变,或在配置的上部设置特定属性。

此配置文件用于尚不存在SAN的TLS服务器配置文件。例如,在NWA中创建的证书尚未签名。

这里的重要部分是选择公共名称作为SAN(CN通常持有主机名)。

这样,它会自动设置为SAN。

此配置文件用于签署SNC证书

重要:保留传入的主题。否则,证书的DN可能会更改,国内的云服务器,云服务器网址,这将导致AS ABAP中的disp+工作进程无法启动。

此配置文件用于签署TLS客户端证书

重要提示:建议保持可分辨名称稳定(如上面的屏幕截图所示)。这样,证书映射在续订后不需要调整。

创建应用程序服务器配置文件组

在安全登录管理控制台中,转到"应用程序服务器配置文件组"。

在那里您可以创建一个新组。此组应包含RA配置文件以及您创建的其他证书配置文件。

建议更改组ID以简化元数据URL。

在"系统标识符"下,添加要续订证书的系统的SID。将根据此列表检查RA证书的公用名。条目允许包含大写字母和数字。但是,它们不限于三个字符,这为操作系统更新提供了一些空间。

AS ABAP中的配置包括运行两个报告。在较新的系统中,报告随时可用。但是,与它们的可用性无关,始终建议通过note实现最新版本https://launchpad.support.sap.com/#/notes/2452425。

首先,运行报告SSF\U CERT\U ENROLL。您需要SLS元数据URL和一个具有密码的用户,该用户可以对注册进行身份验证。报告将在STRUST中创建一个PSE条目并创建一个已签名的客户端证书,该证书稍后用于验证系统以进行证书续订。

在第一个报告成功完成后,运行报告SSF\u CERT\u RENEW以续订STRUST中的条目。要运行它,您需要元数据URL和宽限期(最短天数,证书在续订前应有效)。

然后您将看到系统中证书的概述,并显示不同证书配置文件的选择屏幕。为不同的条目选择适当的配置文件,然后选择应续订的条目。

运行报告后,您将看到每个证书的成功消息

将设置保存在变体中,并计划定期的后台作业来续订证书。注意:在ABAP中,您必须使用环境中的常规调度工具自己规划作业。在Java中,作业调度由CLM应用程序处理。在asabap中,这必须由您自己完成。

在asjava中,您需要导入包"Secure Login Library 3.0"。独立于操作系统的软件包是一个SCA,可以使用telnet作为Java导入到中。

这为您提供了CLM应用程序,可以通过https://:/sapsso/CLM进行访问

分享给小伙伴们:
本文标签: 存储企业邮箱登录便宜

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表