本操作指南是解释如何在HTTPS场景中实现主体传播的后续指南。

本文档的目的是首先解释如何配置和使用ICM跟踪，云服务器买，但也强调了在中断工作配置时ICM（Internet Communication Manager）跟踪的输出允许主体传播发生在HTTPS场景中。

本指南的出发点建立在致力于在HTTPS场景中实现主体传播的指南的基础上。下图说明了我们实验室环境的体系结构。要了解更多详细信息，请检查前面提到的文档

在ICM级别收集的日志只能揭示直接与SAP前端服务器进行通信的细节，买服务器云，这是有关SAP Cloud Connector和SAP前端服务器之间通信的详细信息。

因此，我们应该找到有关这两个组件之间SSL握手的信息，并查看由SAP Cloud Connector构建的短期证书的详细信息。

当然可以从SAP登录内部查看跟踪，但是这不是最方便的，尤其是当跟踪变得很长的时候…我更建议使用不同的编辑器打开它，比如Notepad++或Baretail…

当然不可能涵盖所有可能导致错误的场景。但是这里有一些可能发生的典型问题及其对ICM的影响轨迹。

在这里显示每个场景的所有日志没有多大意义，但是我已经从这些轨迹中提取了可以看到的最重要的信息。

工作配置的输出

有趣的部分从这行开始，表示客户端正在与SAP前端服务器建立新会话。

以下几行表示哪些是来自SAP前端的可信CA，以及它们在SSL握手上下文中的验证。

可能是最重要的部分，SAP Cloud Connector提供给SAP前端服务器的证书。

此信息与Cloud Connector上的配置完全匹配，因为使用Web IDE执行的测试使用计算机中现有的企业标识证书。此证书最初由另一个CA颁发，如图所示在：

下面是指示如何构建短期证书的配置。除了通用名称之外，企业管理类软件，没有定义任何内容。

后面的跟踪中，我们还可以看到以下几行确认对请求数据的访问：

不完整配置的输出–STRUST

对于此测试，我们已经从STURST configuration服务器SSL标准下证书列表中的私有根ca。这意味着SAP前端服务器没有办法验证提供给它的证书…

在日志中，SSL握手没有正确发生。跟踪中最重要的条目如下：

我们还可以在日志中看到以下条目，解释为什么我们会收到访问SAP前端服务器的凭据提示：

不完整配置的输出–CERTRULE

在此上下文中，我们没有配置用户的映射，因此SAP系统不可能将传入的用户转换为本地用户…

在ICM跟踪中，虽然SSL握手工作正常，物联网工程师，但我们可以在日志中看到以下消息：

虽然我们有一个配置正确的200。这意味着SAP前端服务器只是拒绝授予对请求内容的访问权限，除非您提供其他凭据…

不完整配置的输出–RZ10

而对于以前的所有配置测试我们使RZ10中的配置变得非常宽松，在引入错误之前，我们试图使其更加严格…

对于以前的测试，参数"icm/HTTPS/trust\u client\u with\u issuer"被设置为"*"。在运行此场景之前，我们将该值设置为"CN"=private.root.ca，OU=TechEd2017，O=SAP，C=DE"这是正确的配置。

现在我们将此配置修改为"CN"=本地ca.cc.wdf.sap公司，OU=TechEd2017，O=SAP，C=DE"看起来也不错，看看结果吧

不奇怪，贵阳大数据，我们再次得到凭证提示，这意味着我们无法访问后端资源。我们得到的HTTP 401证实了这一点：

但更重要的是，我们还可以看到以下几行：

消息清楚地突出显示两个颁发者之间存在不匹配。我们已经知道解决此特定问题的方法问题…