Willkommen im SAP Forum

Super Anleitung, genau das habe ich gesucht! Vielen Dank!

Vielen Dank für die Anleitung. Wie teste ich das dann mit SOAP UI? Ich muss ja dann im SOAP UI irgendwo auch das Zertifikat mitgeben?

Hallo Tobias, wenn ich auf meinem PC SAP Java App Server oder sld oder Fiori aufrufen, dann bekomme ich diese Fehlermeldung: Dem Sicherheitszertifikat dieser Website wird von Ihrem PC nicht vertraut. Fehlercode: DLG_FLAGS_INVALID_CA Welchen Zertifikat soll ich implementieren, um diesen Fehler für alle SAP Benutzer zu beheben ? Vielen Dank

Hallo, ich denke, im Grunde ist es das hier: https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Common-Name-3717594.html Typischerweise tritt dieses Problem bei Unternehmen auf, die auf den Microsoft Edge wechseln. Diese verwendet als Engine mittlerweile den Chrome. Und deshalb muss das SAP Zertifikat in der STRUST auch ("plötzlich") einen Subject Alternative Name haben. Neuere Netweaver-Releases bieten das direkt an, ältere Releases muss man das per genpse-Tool unterschieben. Es gibt auch Hinweise von der SAP dazu: 2725592 - Warning "Not Secure" when access to AS ABAP system via HTTPS on Google Chrome Version 58+ 2478769 - Erhalt von Zertifikaten mit Alternativnamen des Inhabers (SAN) in STRUST Viele Grüße Tobias

Hallo Tobias, Ich habe eine Frage zu SSL. Ich habe unter STRUST Server Standard PSE ein PSE erstellt, somit wird dann ein Privater und öffentlicher Schlüssel erstellt. Wie kann ich das Zertifikat von Server Standard (also mit Create Certificate Request) signieren, wenn ich keine Zertifizierungsstelle habe ? Vielen Dank.

Hi Steve, die meisten Unternehmen haben eine interne Zertifizierungsstelle durch das Active Directory / AzureAD. Wenn du da nichts zur Verfügung hast, dann musst du auf eine externe certificate authority (CA) zurückgreifen. Zum Beispiel Thawte oder Verisign. Da sollte es ein Anbieter sein, dessen Root-Zertifikat bei deinen Usern in dem Browser auch vorhanden ist. Früher funktionierte das auch mal SAP mit ihrem Trustcenter Services (TCS), das haben sie aber Ende 2020 eingestellt. Self-signed (=Selbstsigniert) macht heutzutage wirklich nur bei einem Labortest Sinn, weil der Enduser sich ansonsten durch eine lange Liste von (berechtigten) Warnmeldungen klicken muss. Viele Grüße Tobias

Hallo Tobias, wie kann man Zertifikate selbssignieren ? Würden die selbssegnierten Zerifikate innerhalb von Intranet (also man bleibt immer im VPN Netz) ausreichen ? Danke schön

Hallo, grundsätzlich würden die selbstsignierten Zertifikate ausreichen. Die Certificate Authority (CA) - also der Zertifikatsaussteller - müsste aber in allen Clients als vertrauenswürdig hinterlegt werden, damit moderne Browser die Webseiten dann noch anzeigen. Viele Grüße

Hallo Herr Schmits, wird das Hauptzertifikat für den Trust benötigt, oder ist es ausreichend nur die Root/Zwischenzertifikate zu importieren? Unser Dienstleister ist der Meinung, dass diese auch importiert werden müssen. Lt. Ihrer Beschreibung verstehe ich das so, dass nur das Root/Zwischenzertifikat importiert werden muss. ("Der Zertifikatspfad zeigt die notwendigen Stammzertifikate, die importiert werden müssen"). Wir haben im STRUST einige Zertifikate (Hautpzert.), die schon lange abgelaufen sind, können aber keine Einschränkungen im Betrieb feststellen. Wenn ich das mal mit der Handhabung im Browser vergleiche importiere ich ja dort auch nicht alle Zertifikate, sondern nur die Root/Zwischenzertifikate, denen ich vertraue. Diese müssen auch nicht so oft aktualisiert werden... Mit freundlichen Grüßen Rainer Schmidle

Hallo Herr Schmidle, hier die Antwort unserer Expertin: "Es ist korrekt, dass nur die Root- und Zwischenzertifikate von vertrauenswürdigen CAs in der STRUST hinterlegt werden müssen. Es ist normalerweise nicht notwendig ein Server- bzw. Clientzertifikat zur Liste der vertrauenswürdigen Zertifikate hinzuzufügen. Die Frage bezüglich Einschränkungen im Betrieb ist nicht so leicht zu beantworten. Im Browser wird einem bei einem abgelaufenen Zertifikat angezeigt, dass dieses "Nicht sicher" ist - es wird also keine HTTPS-Verbindung hergestellt. Wenn HTTP-Verbindungen aber auch möglich sind, dann wird die Webseite trotzdem geöffnet. Das gleiche gilt für SAP-Systeme. Ist HTTP bei Ihnen deaktiviert bzw. sind Sie sicher, dass Ihre Webservices HTTPS nutzen?" Wenn Sie weitere Fragen zum Thema haben, schreiben Sie uns gerne auch eine Mail an info@rz10.de Viele Grüße aus der RZ10-Redaktion