手机站:/m

企业邮箱_群晖51返利-阿里云访问_9元

时间:2021-09-28 13:12编辑:淘客樊里来源:淘客樊里当前位置:主页 > 云解析 >

为了提供安全通信,本博客将展示安装签名证书链的步骤。有多种方法可以做到这一点。但首先,要特别感谢马克·贝克尔,他提供了大量的见解,使这个博客成为可能!

此博客是对其他两个与SAP HANA XS Advanced(XSA)故障切换配置相关的博客的补充:

SAP HANA 2.0 XS Advanced:主机自动故障切换安装/配置示例SAP HANA2 XS Advanced–HANA系统复制的故障转移安装/配置示例

引用的博客使用基于公共名称(CN)属性的通配符证书。但是,政务大数据,此博客将显示一个更新的选项,改用SubjectAltNames(SAN)。SubjectAltNames有一些好处:

从googlechrome58开始,它将不再支持SSL/TLS证书上的Common Name字段。有关背景信息,请参阅以下外部链接:https://support.google.com/chrome/a/answer/7391219?hl=英语https://www.thesslstore.com/blog/security-changes-in-chrome-58/https://www.datacard.com/knowledgebase/chrome-58-security-featuresXSA提供了创建路由的功能(xs create route)。当仅使用基于通配符CN的证书时,只能保护解析通配符的路由。例如,返现,如果我的XSA域是serge.XS2测试-wdf.sap公司,那么我的证书将是*。serge.XS2测试-wdf.sap公司。安全路线的示例如下webide.serge.xs2测试-wdf.sap公司,xsa公司-驾驶舱.serge.xs2测试-wdf.sap公司但是,基本路线serge.XS2测试-wdf.sap公司由于CN中的通配符,无法保护。使用基于SAN的证书作为基本路由serge.XS2测试-wdf.sap公司可以创建和保护。请注意,基本路由的创建并不常见。

本例中描述的高级步骤:

步骤1:

注意:在本例中,我们将使用SAP Web Dispatcher Administration URL来生成CSR。如果您更喜欢使用openssl,那么在帮助链接中有一个示例。

登录到sapwebdispatcher管理URL并转到PSE管理。下一个选择SAPSSLS.pse公司和"重建PSE"。SAP Note 2502649

在我的示例中,我的XSA域名设置为serge.XS2测试-wdf.sap公司,双线服务器租用,因此我将SAN设置为同时包含这两个*。serge.XS2测试-wdf.sap公司以及serge.XS2测试-wdf.sap公司。通过在SAN中使用通配符,证书将申请webide.serge.xs2测试-wdf.sap公司,xsa公司-管理员serge.xs2测试-wdf.sap公司等serge.XS2测试-wdf.sap公司将申请基本路线。

示例:

DNS=*。serge.XS2测试-wdf.sap公司:serge.XS2测试-wdf.sap公司, CN=serge.XS2测试-wdf.sap公司,O=SAP,学生云服务器,C=DE

点击create,结果是:

下一步是创建CA请求并由您的CA签名。确保有完整的链可供导入,包括根CA和中间签名证书。

结果:

步骤2:

从命令行导出p12格式的证书,将其转换为pem格式并准备证书文件以便XSA导入

作为adm用户(或Web Dispatcher目录/文件的Linux所有者)登录到故障转移Web Dispatcher服务器。切换到$SECUDIR目录,在my instance/hana/shared/W95/sec中

导出刚才导入的.p12格式的证书链。确保设置一个兼容的密码,并使其可用于我们稍后执行的导入步骤。命令:

ld9993:/hana/shared/W95/sec#/hana/shared/W95/sapgenpse export∗p12-p/hana/shared/W95/sec/SAPSSLS.pse公司export.serge.xs2测试-wdf.sap公司.p12

下一步是将导出的.p12文件转换为.pem格式。有几个网站可以帮你做到这一点,但是,使用本地安装的openssl是一个更安全的选项。

命令:

ld9993:/hana/shared/W95/sec#openssl pkcs12-inexport.serge.xs2测试-wdf.sap公司.p12-输出export.serge.xs2测试-wdf.sap公司.pem-nodes

请注意,使用-nodes选项会导出未加密的私钥。因此,任何包含未加密私钥的文件都应在安装完成后进行清理。

下一步是获取.pem文件的一部分并创建可由XSA导入的证书文件。

使用您喜爱的编辑器创建两个新文件,一个包含私钥,另一个包含证书链。在早期版本的XSA中,大数据分析,您必须确保"bad attributes"、"subject"和"issuer"的行不是新文件的一部分。从XSA版本1.0.82开始,不再需要此操作。

在私钥文件中复制"私钥"部分,包括.pem文件的开始行和结束行。

在链文件中复制证书,包括.pem文件的开始行和结束行。

示例pkey.pem公司:

-–开始私钥-

导出私钥-

-–结束私钥-

示例链.pem:

-–开始证书-

服务器证书-

-–结束证书-

-–开始证书-

中间/签名证书-

-–结束证书-–

-–开始证书-–

根证书

-–结束证书-–

创建文件后,将这两个文件作为XSA主(主)HANA实例的adm用户安全复制到主(或主)XSA主机。作为目标目录,您可以选择$SECUDIR,它默认为/usr/sap//HDB/sec(示例/usr/sap/SR1/HDB19/PRIMARY/sec)。

示例:

步骤3:

接下来,我们可以导入证书,注意需要重新启动XSA。确保以adm用户身份登录,发出命令"xs admin login"(或"xs login")并输入XSA\u管理员密码。

在XSA中设置证书的命令语法是:

xs set certificate-k-c

在我的示例中:

xs set certificateserge.XS2测试-wdf.sap公司-k/usr/sap/SR1/HDB19//秒/pkey.pem公司-c级/usr/sap/SR1/HDB19//秒/链.pem

如前所述,下一个XSA需要重启。一种快速的方法是重用现有的putty会话,因为我们已经登录到XSA。只需键入"XSA restart":

一旦XSA重启,打开新浏览器,重新测试api url。现在浏览器的安全状态应该显示锁,以表示连接是安全的:

当您检查证书详细信息时,您将看到SAN的:

这就结束了使用SAP HANA2 XS高级故障转移证书的步骤,使用SubjectAltNames。

上一篇游戏服务器_如何注淘客链接-销腾讯企业邮箱_哪家好

下一篇企业网站_网站云服务器网站-建设文章_怎么买

云市场知识本月排行

云市场知识精选