Konfiguration: Digitale Signatur von Dokumenten Dokument im Navigationsbaum lokalisieren
Im Folgenden finden Sie eine Übersicht der durchzuführenden Customizing- und Konfigurationseinstellungen für das digitale Signieren und Verifizieren von Dokumenten und Posteingangsstücken (E-Mails mit digital signierten Anlagen) in der Komponente Records- und Case-Management. Die erforderlichen Arbeitsschritte sind von Ihnen im Records- und Case-Management, in den SSF-Einstellungen (Secure Store and Forward) des SAP-Systems sowie für das jeweilige externe Sicherheitsprodukt durchzuführen.
Hinweis
Beachten Sie, dass die hier vorgestellten Einstellungen beispielhaft auf das externe Sicherheitsprodukt von SECUDE ® bezogen sind.
Die Installation und Konfiguration des externen Sicherheitsprodukts ist nicht Bestandteil dieser Dokumentation. Führen Sie im Falle von SECUDE ® die Installation der SECUDE SSF- und SNC-Software gemäß den Informationen des SECUDE signon&secure-Handbuchs oder anhand weiterer kundenspezifischer Dokumentationen von SECUDE durch.
Einstellungen in der Komponente Public Sector Records Management
...
...
...
...
...
1. Legen Sie im Customizing unter Records- und Case-Management ® Dokument ® Digitale Signatur ® Digitale Signatur von Dokumenten festlegen die Registry-Einstellungen für Dokumente mit digitaler Signatur in einer dafür vorgesehenen Elementart fest. Weitere Informationen finden Sie in der IMG-Dokumentation.
2. Aktivieren Sie die OCSP-Protokollierung (Online Certificate Status Protocol) im Customizing unter Records- und Case-Management ® Grundeinstellungen ® Globale Parameter mit dem Parameter PSOCSPAC.
3. Registrieren Sie alle Dateitypen, die digital signierte Anlagen von Posteingangsstücken repräsentieren sollen, in der Tabelle TOADD unter dem MIME-Typ application/pkcs7-signature.
Hinweis
Im SAP-System werden alle Dokumente vom Dokumenttyp p7s automatisch als signierte Dokumente erkannt.
Einstellungen in der Komponente Secure Store and Forward (SSF)
Server
4. Wählen Sie im SAP Easy Access Menü Werkzeuge ® CCMS ® Konfiguration ® Systemprofil und definieren Sie im Profil des Anwendungsservers die beiden SSF-Produkte SAPSECULIB und SECUDE durch Setzen folgender Parameter:
ssf/name
SAPSECULIB
ssf/ssfapi_lib
<vollständiger Pfad der sapsecu.dll>
ssf2/name
SECUDE
ssf2/ssfapi_lib
<vollständiger Pfad der secude.dll>
5. Definieren Sie im Profil des Anwendungsservers die SNC-Einstellungen durch Setzen folgender Parameter:
snc/enable
1
snc/gssapi_lib
<vollständiger Pfad der secude.dll>
snc/identity/as
p:<DN der SNC-PSE, siehe Schritt 6>
snc/accept_insecure_gui
1
snc/accept_insecure_rfc
1
snc/data_protection/min
3
snc/data_protection/use
3
6. Definieren Sie auf dem Anwendungsserver ein Arbeitsverzeichnis für SECUDE, z.B. „C:\usr\sap\<SID>\<Instanz>\secude“. Erzeugen Sie in diesem Verzeichnis mit dem Secude-Tool die SSF-PSE (Personal Security Environment) und nehmen Sie die vertrauenswürdigen Ausstellerzertifikate in die PSE auf (Damit legen Sie fest, welche Signaturzertifikate Sie verifizieren können). Das Inhaberzertifikat der SSF-PSE muss nicht von Ihrer PKI ausgestellt werden, d.h. es kann selbstsigniert sein.
7. Erzeugen Sie im Arbeitsverzeichnis für SECUDE die SNC-PSE (Secure Network Communication). Wählen Sie den Distinguished Name (DN) der PSE, wie im Profilparameter snc/identity/as angegeben, und nehmen Sie das Ausstellerzertifikat der Smart Cards in die PSE auf. Erzeugen Sie eine Zertifikatsanforderung aus der PSE und lassen Sie ein Zertifikat von Ihrer PKI (Public-Key-Infrastruktur) ausstellen, das sie in die PSE importieren.
8. Setzen Sie die Umgebungsvariable CREDDIR des Servers (z.B. im Start-Script des Servers) auf das Arbeitsverzeichnis für SECUDE. Erzeugen Sie in diesem Verzeichnis mit dem Secude-Programm CREDENTIALS für die SNC-PSE und die SSF-PSE: secude seclogin -p <PSE File>.
9. Legen Sie für die Einstellungen der SSF-Anwendung PSRM Public Sector Records Management im Customizing fest unter SAP Customizing Einführungsleitfaden ® SAP NetWeaver ® SAP Web Application Server ® Systemadministration ® Pflege der Public-Key Informationen des Systems ® Maintaining application-dependent SSF.
Setzen Sie die folgenden Parameter:
Parameter für SSF-Anwendung PSRM Public Sector Records Management
Sicherheitsprodukt
SECUDE
SSF-Format
PKCS7
Privates Adressbuch
<Ihr Dateiname der SSF-PSE>
SSF-Profilname
<Ihr Dateiname der SSF-PSE>
SSF-Profil-ID (opt.)
<Leerwert>
Hash-Algorithmus
SHA1
Zertifikate aufnehmen
X
Digitale Signatur mit Daten
X
PSE verteilen (nur SAPSECULIB)
<Leerwert>
10. Legen Sie für jeden SAP-Benutzer, der mit seiner Smart Card digital signieren möchte, in der Benutzerpflege (SU01) auf der Registerkarte Adresse unter Andere Kommunikation für den Parameter SSF die folgenden Einstellungen fest:
SSF-Parameter für Benutzersignatur
SSF-ID
<Inhabername (Subject) der Smart Card>
SSF-Profil
psesvc:
Destination
SAP_SSFATGUI
11. Tragen Sie für jeden SAP-Benutzer, der sich mit seiner Smart Card an das System anmelden möchte, in der Transaktion SU01 den SNC-Namen ein.
Siehe auch: Abschnitt 3.6.1 des SAP SNC-Benutzerhandbuchs (
http://service.sap.com/security unter Security in Detail ® Secure User Access ® Authentication & Single Sign-On.
12. Wählen Sie Werkzeuge ® Administration ® Verwaltung ® Netzwerke ® RFC-Destinationen und aktivieren Sie SNC für die RFC-Destination SAP_SSFATGUI unter Anmeldung/Sicherheit ® Sicherheitsoptionen ® SNC aktiv.
Client
13. Installieren Sie die SECUDE-Software und ggf. Treiber für den Smart Card-Leser und die Smart Card am Client.
14. Laden Sie in Secude Profile Manager unter Zertifikate das SNC-Ausstellerzertifikat des Anwendungsservers und vertrauen Sie diesem Zertifikat. Nun sollten Sie in der Lage sein, sich mit SNC am SAP-System anzumelden.
15. Tragen Sie in der Datei SSFRFC.ini die SSF-Konfiguration am Client ein, z. B.
SSF_LIBRARY_PATH = <vollständiger Pfad der secude.dll>
SSF_TRACE_LEVEL = 0
SSF_MD_ALG = SHA1
SSF_SYMENCR_ALG = DES-CBC
Empfehlung
Mit dem Report SSF01 können Sie überprüfen, ob die SSF-Bibliothek am Client angesprochen werden kann, indem Sie die Funktion Version ermitteln ausführen. Mit der Funktion Signieren können Sie eine Testsignatur erzeugen (dabei sollten Sie unbedingt mit SNC am System angemeldet sein) (siehe auch StrukturlinkSSF-Installation testen).