云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

云数据库_百度云盘下载很慢_代金券

小七 141 0

租户密钥库中SAP拥有的密钥到期时需要续订。您可以使用Keystore监视器自己激活新配置的SAP密钥。这个博客描述了如何使用keystoremonitor来管理SAP拥有的密钥的更新,如何更新受影响的后端以及如何激活新密钥。它还描述了在出现错误时如何重置密钥。

客户还可以使用密钥库监视器中的SAP拥有的密钥来使用客户端证书建立到后端系统的安全HTTP连接。这在博客"在Keystore Monitor中维护密钥和证书"和"使用Keystore Monitor设置安全出站HTTP连接"中有描述。此外,SAP密钥还可用于消息级安全;使用PKCS7、XML或简单签名者或WS-security对消息进行签名或解密。

私钥对需要定期更新,因为它们仅在特定时间间隔内有效。过期后,密钥不能再用于建立连接,也不能再用于签署消息。

更新后的SAP自有密钥将由SAP提供,客户租户管理员将收到有关所需续订的通知邮件。由于租户管理员必须触发密钥/证书更新的整个过程,因此新密钥的最终激活必须由租户管理员完成。

更改CPI租户中的密钥和证书的过程在联机帮助章节"安全工件更新"中有详细描述,因此这里不做详细介绍,本博客只介绍续费期间使用Keystore Monitor保持别名不变的一般流程

准备激活新的SAP密钥

整个流程从准备续费开始,下载新证书,识别受影响的场景和后端系统,最后,与后端管理员就停机时间达成一致是很重要的。

在Keystore监视器中有一个新屏幕new SAP Keys for the updated SAP Keys。在顶部,您可以看到是否有新的SAP密钥可用,并通知您有一些必要的操作。

屏幕列出了可供激活的新SAP密钥。但在激活密钥之前,您需要确保所有受影响的后端系统中的证书也已更新。

对于接收方系统中基于客户端证书的身份验证,接收方系统中需要云集成租户私钥的根证书和客户端证书。为此,在Keystore监视器中导出私钥对的证书和根证书。这些选项作为单行选项提供。

下载公共证书,请从私钥对行中的"操作"按钮中选择"下载证书"。密钥对的下载证书将在下载目录中创建一个名为.cer的文件。文件包含私钥的公共证书。

要下载根证书,请从私钥对行中的"操作"按钮中选择"下载根证书"。下载密钥对的根证书将创建一个名为_根癌在下载目录中。该文件包含私钥的根证书。

这两个证书需要在下一步导入到接收方系统。

对于接收方系统上基于客户端证书的身份验证,云集成租户私钥的根证书和客户端证书需要在接收方系统中。要验证签名或加密消息,需要在相应的发送方或接收方后端系统中使用客户端证书。

要向相应后端系统的管理员提供新证书,请在新SAP密钥屏幕中导出证书链和/或私钥对的证书。此选项可用作单行选项,从新SAP密钥对行中的操作按钮中选择下载证书链或下载证书。

下载证书链将在下载目录中创建一个名为.p7b的文件。该文件包含分配给私钥的整个证书链。例如,可以使用Microsoft管理控制台的证书管理单元打开证书链文件(证书管理器.msc),这通常在Windows系统上可用。

打开下载的.p7b文件和系统上的证书管理单元,然后打开选项卡证书路径。在那里,可以看到整个证书链。

顶部的条目是根证书。双击打开根证书。这将打开根证书。在"详细信息"选项卡中,通过"复制到文件"将根证书导出到文件中。在证书导出向导中,云服务器吧,将根证书导出为DER编码的二进制X.509文件。使用任意文件名将证书另存为*.cer文件。

以导出根证书的相同方式,也导出位于证书链底部的客户端证书。或者,使用选项从新的SAP Keys monitor下载证书来下载它。

这部分实际上是一个棘手的部分,因为不容易找出在哪些场景中使用了特定的密钥。如果租户管理员知道所有的场景,并且知道密钥在哪里使用,那么这将是最佳选择。

但是由于这里的情况可能并不总是这样,因此需要一些细节来找到受影响的场景。分析租户中部署的所有场景:

检查别名是否用于任何PKCS7、XML或简单签名者流步骤。->证书还需要在后端系统中更新,这些场景会将签名的消息发送到。检查别名是否在WS-Security下的任何SOAP 1.x发送方或接收方通道中使用。->证书还需要在后端系统中更新,这些场景将签名消息发送到或从中接收加密消息。检查是否使用PKCS7解密程序流步骤。->至于解密,如果使用密钥库中的任何有效密钥,证书也可能需要在后端系统中更新,在这些场景中接收加密消息的形式。检查别名是否用于任何基于HTTP的出站适配器通道(例如SOAP、IDOC、HTTP、AS2)中,大数据现状,以进行基于客户端证书的身份验证。->证书还需要在后端系统中更新,在这些场景中,消息将被发送到后端系统。检查是否有基于HTTP的出站适配器通道(如SOAP、IDOC、HTTP、AS2)配置了基于客户端证书的身份验证,但未指定私钥别名。->在这种情况下,如果使用了密钥库中的任何有效密钥,则可能还需要在后端系统中更新证书,在这些情况下,消息将被发送到这些系统。

经过此分析,您现在知道了所有需要新证书的后端系统。

为避免失败消息,您应该同意为该证书设置停机时间后台系统管理员影响的场景

本文地址: /cunchu/77994.html
版权声明:本文发布于收集站云 内容均来源于互联网 如有侵权联系删除

上一篇:云数据库_服务器加固_0元

下一篇:微软云_php数据库增删改查_免费6个月

相关文章