点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
专家们,
在我们的一位客户中,我们最近执行了向SAP SSO 3.0版的迁移,并安装了新的Secure Login Server。 新的SLS应该作为现有企业根的Sub-CA运行。
除了SAP SSO解决方案发布的客户端证书之外,Windows客户端之前还具有用于安全WLAN 802.1x的现有客户端身份验证证书。 两者都是同一证书链的一部分,因此是同一根CA。
现在,由于我们将信任关系安装到SAP后端上的新根CA,因此在通过浏览器访问AS ABAP上的ICF服务时,用户会遇到证书选择对话框。 这是正确的行为,无论如何,只有正确的证书(来自SLS的证书)才能用于在SAP进行身份验证。 客户最终用户不希望看到选择屏幕。 另外,我们无法删除现有证书。
对于SAP GUI而言,这不是问题,因为我们可以使用CAPI筛选器(注册表项)和/或在安全登录客户端中启用证书配置文件。
问题::在AS ABAP后端(ICM)上,是否有一种方法可以在TLS握手期间影响受信任的客户端身份验证证书? 是否对使用类型,发行者,OID等进行任何过滤? 也许是一种通过GPO等在浏览器中过滤掉证书的方法? 到目前为止,我找不到任何东西。
恐怕无法解决此问题,但还是请在这里尝试;)
干杯,Carsten
或者是否有办法(在SAP后端上设置)从TLS握手中排除特定的根CA?
Carsten,
有几种情况需要考虑。
1。 只有一个用户证书。 只适合服务器CA列表的一个:
这是一个浏览器安全设置,用于控制是否显示证书选择对话框。 可能是一些单独的配置,或类似3中的内容。
2。 两个或多个用户证书将适合,并在选择对话框中提供:
如果服务器发送了多个接受的CA,并且用户证书分别由其中一个颁发,则只需删除不希望使用的CA。
如果不需要的CA是服务器自己的PKI根,只需在STRUST中取消选中SSL服务器PSE的"自己证书"窗格中的"信任发行者证书"复选框即可。 换句话说,服务器不接受来自同一PKI的用户证书。
如果服务器发送了一个根CA,并且用户证书是在此PKI中由不同的中间CA颁发的,则从"证书列表"中删除该根CA证书,并添加所需的中间CA。
您可能还需要考虑1.(可能还有3。)。
3。 您不能更改STRUST,因为其他用例需要现有配置:
使用现有的浏览器安全策略,根据URL模式对用户证书选择进行微调。
例如Chrome: https://www.chromium .org/administrators/policy-list-3#AutoSelectCertificateForUrls 或 https://blogs.sap.com/2013/10/22/how-to-automatically-select-sap-client-certificate-in -google-chrome /
最好,
斯蒂芬
一周热门 更多>