目的

本文档旨在展示如何使用客户端证书作为身份验证方法，将您的SAP后端（在本例中为SAP ECC 6.0）与配置了自定义域的SCPI连接起来。这是为了避免向CA支付让您的客户端证书签名的费用，而是使用从STRUST创建的自签名证书。

此演示背后的主要思想来自Mandy Krimmel的博客如何使用客户端证书设置安全的HTTP入站连接。

涉及的系统

SAP后端通过（同步）连接到SCPISOAP WS.

前提条件

SCPI自定义域正确配置了绑定到相应SSL主机的服务器/域证书。有关更多信息，云服务器的，请参考以下链接：

自定义域，概述

使用自定义域

Sap neo java web sdk安装在您的本地系统上，要下载该工具，请单击此链接。SCPI中自定义域背后的基本概念。

配置STRUST

创建新的SSL客户端PSE（又名SSL客户端标识）。

运行tcode STRUST，云市场，从工具栏->环境->SSL客户端标识。

点击新建条目并添加新标识。

保存更改。

右键点击刚创建的SSL标识并点击创建。

根据需要插入值，将密钥长度至少设置为2048。

新条目将显示如下。

双击所有者值并导出证书（在本例中，我们使用Base64）。

继续之前，请在证书列表中加载根服务器/域证书，多线云主机，此证书取决于您作为域证书绑定的内容。

导入后，保存新的STRUST配置。您已完成此部分。

以前导出的客户端SSL证书现在可以上载到您的SCPI帐户中。原因是SCPI负载平衡器只信任CA签名的证书。此处列出了SCPI支持的受信任CA列表SAP支持的负载均衡器根证书。

相反，在正确设置自定义域后，您是域管理员，可以信任您的SAP自签名客户端证书，无需支付额外的许可证。

将自签名客户端证书上载到SCPI（添加您的证书）CA）

在您的SCPI SSL主机中持有证书的实体称为bundle。该捆绑包允许您持有证书，使外部应用程序能够调用您的自定义域并根据SCPI进行身份验证。一个捆绑包最多可以容纳150个证书。

运行neo java web sdk并添加您的CA，在这种情况下使用先前创建的客户端证书。请注意，我正在将我的CA添加到现有的包中。如果这是您添加的第一个CA，返利平台，则会自动创建一个新的捆绑包。

要显示您刚刚加载的内容，请按如下方式运行list cas命令。

如果这是您创建的第一个捆绑包，则必须在之后运行set ssl host命令。有关此命令及其含义的详细信息，请查看此链接。

证书到用户映射

使用在第一步中创建的SAP ERP客户端SSL证书创建新的证书到用户映射。

进入视图后，单击Add并选择适当的用户名（它不需要存在于您的子帐户成员中）。在这个演示中，我使用SAPERPUSER。然后选择您的SAP ERP SSL客户端证书并单击"确定"。

结果如下。

将此用户添加到ESBMessaging.send发送子帐户订阅应用程序中的角色（您可以从https://account.hana.ondemand.com).

代理使用者配置（SOAMANAGER）

在使用者代理中，创建一个逻辑端口（这里是使用手动配置）。

在身份验证设置中，选择X.509 SSL Client Certificate，以便使用存储在您的STRUST中的安全资料。

然后选择先前创建的SSL PSE。

配置传输设置（url，商业大数据分析，等）根据您的SCPI公开的Web服务并保存它。

Ping您的Web服务（此时您可能会返回错误，这不一定令人担忧）。然后转到SCPI系统日志文件。

下载您在那里找到的第一个http\U访问*.Log文件，以验证发送到连接到SCPI的用户信息。

在这里您将看到用于建立连接的SAPERPUSER和作为SOAMANAGER ping结果的http状态500。

从SAP后端调用服务后，日志报告正确的http状态200.