ABAP ICM/TLS:来自同一根的多个客户端身份验证证书-浏览器选择弹出窗口

2020-09-18 04:33发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)专家们, 在我们的一位客户...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家们,

在我们的一位客户中,我们最近执行了向SAP SSO 3.0版的迁移,并安装了新的Secure Login Server。 新的SLS应该作为现有企业根的Sub-CA运行。

除了SAP SSO解决方案发布的客户端证书之外,Windows客户端之前还具有用于安全WLAN 802.1x的现有客户端身份验证证书。 两者都是同一证书链的一部分,因此是同一根CA。

现在,由于我们将信任关系安装到SAP后端上的新根CA,因此在通过浏览器访问AS ABAP上的ICF服务时,用户会遇到证书选择对话框。 这是正确的行为,无论如何,只有正确的证书(来自SLS的证书)才能用于在SAP进行身份验证。 客户最终用户不希望看到选择屏幕。 另外,我们无法删除现有证书。

对于SAP GUI而言,这不是问题,因为我们可以使用CAPI筛选器(注册表项)和/或在安全登录客户端中启用证书配置文件。

问题::在AS ABAP后端(ICM)上,是否有一种方法可以在TLS握手期间影响受信任的客户端身份验证证书? 是否对使用类型,发行者,OID等进行任何过滤? 也许是一种通过GPO等在浏览器中过滤掉证书的方法? 到目前为止,我找不到任何东西。

恐怕无法解决此问题,但还是请在这里尝试;)

干杯,Carsten

2条回答
hongfeng1314
2020-09-18 05:07

Carsten,

有几种情况需要考虑。

1。 只有一个用户证书。 只适合服务器CA列表的一个:

这是一个浏览器安全设置,用于控制是否显示证书选择对话框。 可能是一些单独的配置,或类似3中的内容。

2。 两个或多个用户证书将适合,并在选择对话框中提供:

如果服务器发送了多个接受的CA,并且用户证书分别由其中一个颁发,则只需删除不希望使用的CA。

如果不需要的CA是服务器自己的PKI根,只需在STRUST中取消选中SSL服务器PSE的"自己证书"窗格中的"信任发行者证书"复选框即可。 换句话说,服务器不接受来自同一PKI的用户证书。

如果服务器发送了一个根CA,并且用户证书是在此PKI中由不同的中间CA颁发的,则从"证书列表"中删除该根CA证书,并添加所需的中间CA。

您可能还需要考虑1.(可能还有3。)。

3。 您不能更改STRUST,因为其他用例需要现有配置:

使用现有的浏览器安全策略,根据URL模式对用户证书选择进行微调。

例如Chrome: https://www.chromium .org/administrators/policy-list-3#AutoSelectCertificateForUrls https://blogs.sap.com/2013/10/22/how-to-automatically-select-sap-client-certificate-in -google-chrome /

最好,
斯蒂芬

一周热门 更多>