[60041] in SAPr3-news
Re: HTTP Content Server und Signatur
daemon@ATHENA.MIT.EDU (Tibor Gerke)
Mon Oct 8 15:36:15 2007
To: sapr3-news@mit.edu
Date: Mon, 08 Oct 2007 21:35:49 +0200
From: Tibor Gerke <tibor.gerke@gmx.de>
Message-ID: <470a86a0$0$7689$9b4e6d93@newsspool2.arcor-online.net>
Chris Seidel wrote:
> Thorsten Kinze wrote:
>
>> wieso baust du die URL selbst zusammen? Gibt es keinen passenden
>> Funktionsbaustein/BAPI?
>
> Bestimmt gibt es den. Nur hab ich gar kein Zugriff auf BAPI und möchte
> diesen Umweg auch nicht gehen.
> Ich weiß inzwischen, dass es Java-Komponenten von SAP gibt, die die
> Signierung vornehmen können. Nur weiß ich nicht, wie ich an die rankomme:
>
> http://help.sap.com/saphelp_nw04/helpdata/en/18/6197044da2a745a4d588da33e0facf/frameset.htm
Ich glaub nicht, dass diese Libraries wirklich weiterhelfen.
Für die Authentifizierung hat das SAP System ein Public-Private-Key-
Zertifikat im Zertifikatsspeicher, irgendwo als *.PSE gespeichert.
Auf das PSE-File kann man per Kommadozeilen-Tools zugreifen,
um das Zertifikat zu exportieren bzw. überhaupt mal rauszubekommen,
welche Verschlüsselung benutzt wird.
Das SAP System sendet den Public-Key an den Content Server.
Im Content Server muss man den Public-Key dann akzeptieren.
Für den SAP Content Server ist das als TA csadmin implementiert.
D.h. wenn man mit einem Nicht-SAP-System Dokumente im Content Server
ablegen will, muss man entweder (a) Zugriff auf den Private-Key des
SAP Systems haben oder (b) einen eigenen Public-Key an den Content
Server geschickt haben.
Für (a) bietet sich der RFC/BAPI an, evtl. auch Deine gefundenen
Libraries zum Signieren, die aber vermutlich nur innerhalb der J2EE
Umgebung laufen dürften. Leider lässt sich der Gültigkeitszeitraum
der signierten URL nicht beeinflussen, sonst koennte man aus einer
Stunde auch mehr machen und eine URL mit mCreate statisch einmalig erzeugen.
Für (b) könnte man mit OpenSSL oder diversen Java Security Providern
versuchen, ein SAP kompatibles Public-Private-Key-Zertifikat zu
erzeugen. Der SAP Content Server speichert das Zertifikat ebenfalls in
einer PSE-Datei, in die man zur Kontrolle mit dem Kommadozeilentool
schauen kann.
/Tibor
