简介

SAP 系统包括使用密码的 SAP 授权和用户身份验证的一些基本安全措施。 本文将向您展示如何使用安全网路连接 (SNC) 扩展 SAP 系统安全，使其超越这些基本措施，包含更强大的身份验证方法和加密的额外保护。本文将介绍 IBM® WebSphere® Adapter for SAP Software 提供的连接机制，通过 SNC 建立到达 SAP 的安全连接。

先决条件

• IBM Integration Designer V7.5（以前称为 IBM WebSphere Integration Developer）或 IBM Business Process Manager V7.5 Advanced Edition
• WebSphere Adapter for SAP Software V7.5（后面简称为 WebSphere SAP Adapter）
• 利用已配置好的 IDoc/BAPI 处理来访问 SAP 系统
• 一个 SAP JCo Library 和 SAP Cryptographic Library
• 对 IBM Integration Designer 和 WebSphere SAP Adapter 有基本的了解，有关这些产品的更多信息，请参阅本文底部的 参考资料。

安全网络通信 (SNC)

SNC 是 SAP 系统体系架构中的软件层，为外部安全产品提供了一个接口。使用 SNC，您可以通过实现外部安全功能和保护来加强 SAP 系统的安全。SNC 提供了应用程序级的、端到端的安全性，以确保提供可靠的、一致的、安全的连接。

SNC 被用于保护到 SAP 高级业务应用程序编程 (SAP Advanced Business Application Programming, ABAP) 系统的 远程功能调用 (RFC) 连接。SNC 支持是作为 SAP 内核与实现 通用安全服务 API (GSS-API) 的外部安全库之间的一个层实现的。SAP 还提供了 SAP Cryptographic Library，您可以从 SAP 下载它。

WebSphere SAP Adapter 允许您通过建立一个叫做 SNC 的安全 RFC 连接来连接到 SAP 系统。下一节我们将向您展示如何使用具有 IBM Integration Designer V7.5 或 IBM Business Process Manager V7.5 Advanced Edition 的 WebSphere Adapter for SAP Software 建立到 SAP 系统的 SNC。

在 SAP 和 WebSphere SAP Adapter 上配置 SNC

1. SAP Cryptographic Library

SAP Cryptographic Library 是在 SAP 系统中执行加密功能的默认 SAP 安全产品。它符合 GSS-API V2 的要求。下载 SAP Cryptographic Library（SAP 授权需要它）。Cryptographic Library 安装包包含以下文件：

• SAP Cryptographic Library（用于 Microsoft® Windows® 的 sapcrypto.dll）
• 一个相应的许可票证
• 配置工具 sapgenpse.exe

2. SAP 高级业务应用程序编程 (ABAP) 系统上的 SNC 配置

在对 SNC 使用 SAP Cryptographic Library 时，必须同时为 SNC 配置服务器及其通信合作伙伴系统（WebSphere 运行时安装在该系统中）。个人安全环境 (Personal Security Environment, PSE) 必须已经配置好，上述两个组件会用它来验证和身份验证远程组件，并用它来存储公私密钥对和公钥证书。对于 SNC ，让每个组件都有自己的独立 PSE 会更好一些，因为如果所有组件共享单个 PSE，攻击者就可以欺骗客户端系统并连接到 WebSphere 服务器，而不是连接到 SAP 服务器，而客户端将无法检测该攻击。在本文中，两个系统都使用了单独的 PSE。

创建并配置服务器 PSE

您需要设置 SAP 实例配置文件参数，从而允许使用 SNC 并指定 SNC 名称。按照下方的指令配置 PSE，并在 SAP 服务器上激活 SNC：

• 设置具有 SNC 的 RFC 客户端与 Web AS ABAP 之间的数据加密
• 配置 SNC：AS Java 和 AS ABAP
• 设置 SNC 配置文件参数

3. 客户端系统上的 SNC 配置

本例中的客户端系统包括已经部署好了 WebSphere SAP Adapter 的 IBM Business Process Manager。 您需要在客户端上执行创建 PSE 的一次性设置过程并交换密钥。此设置是必需的，不管您是否配置了环境来支持入站或出站通信。

3a. 设置环境变量

以下是客户端系统上所需的配置步骤。按如下所示设置环境变量 SECUDIR 和 LD_LIBRARY_PATH。SECUDIR 包含步骤 1 中获得的许可票据。LD_LIBRARY_PATH 包含 sapcrypto.dll 和 sapgenpse.exe 文件。

3b. 创建客户端 PSE

使用 sapgenpse.exe 创建一个 PSE：sapgenpse gen_pse -v -p PSE_FILE_NAME。系统会要求您设置一个 PIN，用它来充当 PSE 密码。然后您需要输入 PSE 所有者的可分辨名称。进行以下声明：CN=myhost.mydomain, C=mycountry, S=mystate, O=mycompany, OU=mydepartment。

配置 PSE 并为用户创建一个名为 cred_v2 的凭证文件。该文件允许客户端一次性访问密钥存储库。该文件仅可用于当前操作系统用户：
sapgenpse seclogin -p PSE_FILE_NAME -O USERNAME。

4. 在 SAP ABAP 系统和客户端之间交换证书

SAP ABAP 系统和客户端需要交换证书，以便建立彼此信任和安全通信。

4a. 客户端证书交换

使用以下命令从 PSE 导出客户端证书：
sapgenpse export_own_cert -v -p PSE_FILE_NAME -o CLIENT_CERT_NAME。

转至 SAP 服务器（在这里是 eccdev_SD1_10）上已配置好的 PSE，并使用 SAP 事务代码 STRUST 将客户端证书导入 SAP。然后使用 Import Certificate 选择上述步骤中导出的证书，并将它添加到证书列表中。

4b. SAP 系统证书交换

从服务器导出 SAP 证书：选择服务器证书并单击 Export：

使用以下命令将 SAP 证书导入客户端 PSE：
sapgenpse maintain_pk -v -a SERVER_CERT_NAME -p PSE_FILE_NAME。

5. 为 SAP 上的客户端应用程序授权

SNC 有一个访问控制列表，因此您需要针对您的客户端为 SAP 系统创建一个条目， 以便允许为 RFC 建立 SNC 连接。在 SAP 上，转至 SM30，输入 VSNCSYSACL 并单击 Maintain。然后单击 The table is cross-client information。现在您已经完成了客户端和服务器端的 SNC 配置。

使用 WebSphere SAP Adapter 建立 SNC 连通性

您可以使用 IBM Integration Designer 配置 WebSphere SAP Adapter。运行 Enterprise Service Discovery 向导创建一个 EIS 导入或导出，您可以使用它来访问您的后端 SAP 系统。关于运行此向导的详细信息和配置步骤，请参阅文章底部的 参考资料。Enterprise Service Discovery 向导在 Advanced Properties for SNC 相关配置下提供了一个分区。它提供了以下属性：

• 安全网络连接 (SNC) 名称：为客户端 PSE（在上述步骤 3b 中创建）指定可分辨名称。
• 安全网络连接 (SNC) 合作伙伴：为服务器 PSE（上述步骤 2 中创建）指定可分辨名称。
• 安全网络连接 (SNC) 安全级别：该属性指定了安全网络连接的安全级别。安全级别支持是由 Cryptographic Library 提供的。并非所有的安全级别都受特定库文件的支持。请根据需要从下拉菜单中进行选择：
  • 仅进行身份验证
  • 完整性保护
  • 隐私保护，等等
• SNC 库路径：该属性指定了到达提供安全网络连接服务（上述步骤 1 中获得的 sapcrypto.dll）的库的路径。
• X509 证书：这个可选属性指定了将用作登录票证的 X509 证书。您可以使用常规用户名和密码通过 SNC 连接到 SAP，或者通过 X509 证书（上述步骤 3b 中生成的客户端证书，已在步骤 4a 中使用名称 CLIENT.crt 导出至文件系统）。您可以通过 SAP System Trace 和适配器追踪文件验证 SNC 连接状态。关于上述属性的更多信息。

结束语

在本文中，我们了解了到 SAP 的安全网络通信 (SNC) 的一些基础知识，了解了如何使用 WebSphere SAP Adapter 配置 SNC 连接。本文还向您展示了如何为 SNC 配置 SAP 系统和客户端系统。

致谢

作者非常感谢来自 IBM BPM Development 的 Jens Engelke 对本文的审阅。

参考资料

学习

• WebSphere Adapter 资源
  • WebSphere Adapter for SAP Software 文档
    关于 BPM 上的 WebSphere SAP 适配器配置的详细信息。
  • IBM WebSphere Adapter for SAP Software 样例
    这部分中的样例展示了如何使用 WebSphere Adapter for SAP Software 支持的各种接口。
  • WebSphere Adapters 信息中心
    一个针对所有 WebSphere Adapters 文档的网络门户，其中包含关于安装、配置和使用 WebSphere Adapters 的一些概念、任务和参考信息。
  • WebSphere Adapters 产品页面
    产品功效、产品说明、产品新闻、案例分析、培训信息和支持信息等。
  • WebSphere Adapters 产品库
    产品演示、红皮书和白皮书等。
  • WebSphere Adapters 支持
    一个支持问题及其解决方案的可搜索数据库，包含下载、修复程序和问题跟踪。
  • 使用 WebSphere Adapters 的业务流程管理样例和教程
    这些样例向您展示了如何在那些利用 WebSphere Integration Developer 开发并在 WebSphere Process Server 或 WebSphere ESB 上部署的解决方案中使用 WebSphere Adapters。
  
  
• WebSphere 资源
  • developerWorks WebSphere 开发人员资源
    面向使用 WebSphere 产品的开发人员的技术信息和资源。developerWorks WebSphere 提供产品下载、how-to 信息、支持资源以及一个免费技术库，该技术库包含 2000 多篇技术文章、教程、最佳实践和 IBM 红皮书和在线产品手册。
  • developerWorks WebSphere 应用程序集成开发人员资源
    帮助您构建 WebSphere 应用程序集成和业务集成解决方案的 how-to 文章、下载、教程、培训和产品信息等资源。
  • developerWorks WebSphere 业务流程管理开发人员资源
    帮助您建模、组装、部署和管理业务流程的 WebSphere BPM how-to 文章、下载、教程、培训、产品信息和其他资源。
  • 最受欢迎的 Sphere 试用版下载
    免费下载关键 WebSphere 产品试用版。
  • WebSphere 论坛
    这是一个特定于产品的论坛，您可以在此处获得技术问题的答案，并与其他 WebSphere 用户分享您的专业经验。
  • WebSphere 按需演示
    下载、观看和学习 WebSphere 产品和 WebSphere 相关技术的用途，帮助您的企业响应快速变化且日益复杂的业务环境。
  • developerWorks WebSphere 每周时事通讯
    developerWorks 新闻简讯提供了您感兴趣的主题的最新文章和信息。除 WebSphere 之外，还可以选择 Java、Linux、Open source、Rational、SOA、Web 服务和其他主题。立即订阅并设计您的定制邮件。
  • 来自 IBM Press 的 WebSphere 相关图书
    通过 Barnes & Noble 实现便捷的在线订购。
  • WebSphere 相关活动
    世界各地针对 WebSphere 开发人员的会议、商贸展览、网络广播和其他活动。
  
  
• developerWorks 资源
  • IBM 软件产品的试用版下载
    免费下载精选的 IBM® DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 产品的试用版。
  • developerWorks 博客
    加入 developerWorks 用户和作者、IBM 编辑和开发人员的谈话。
  • developerWorks 云计算资源
    访问 IBM 或 Amazon EC2 云，在沙盒中测试 IBM 云计算产品，观看云计算产品和服务的演示，阅读有关云计算的文章并访问其他云资源。
  • developerWorks 技术简报
    IBM 专家的免费技术讲座会议可以帮助您加快学习速度，帮助您在最困难的软件项目中获得成功。会议包括时长 1 小时的网络广播，以及在世界各个城市举办的半天和全天的实时会议。
  • developerWorks 播客
    收听针对软件创新者的有趣访谈和讨论。
  • IBM Education Assistant
    一个多媒体培训模块集合，帮助您更好地了解 IBM 软件产品，更有效地使用它们满足您的业务需求。
  
  
• IBM developerWorks 中国 WebSphere 专区：为使用 WebSphere 产品的开发人员准备的技术信息和资料。这里提供产品下载、how-to 信息、支持资源以及免费技术库，包含 2000 多份技术文章、教程、最佳实践、IBM Redbook 和在线产品手册。
  
  

获得产品和技术

• 最受欢迎的 WebSphere 试用软件下载：下载关键 WebSphere 产品的免费试用版。
  
  
• IBM developerWorks 软件下载资源中心：IBM deveperWorks 最新的软件下载。
  
  
• IBM developerWorks 工具包：下载关键 WebSphere 最新的产品工具包。
  
  

讨论

• 加入 developerWorks 中文社区，developerWorks 社区是一个面向全球 IT 专业人员，可以提供博客、书签、wiki、群组、联系、共享和协作等社区功能的专业社交网络社区。
  
  
• 加入 IBM 软件下载与技术交流群组，参与在线交流。
  
  

关于作者

为本文评分

评论

回页首

内容

• 简介
• 安全网络通信 (SNC)
• 在 SAP 和 WebSphere SAP Adapter 上配置 SNC
• 使用 WebSphere SAP Adapter 建立 SNC 连通性
• 结束语
• 致谢
• 参考资料
• 关于作者
• 评论