このセクションでは、SAP Cryptographic Library をダウンロードおよびインストールして、SAProuter で使用するために必要な手順について記載します。SAProuter は、このセクションで後述するオプションを使用して起動する必要があります。
SAP 暗号ライブラリーのライセンスに関しては、SAP Note 597059 をご参照ください。SAP の SAProuter とお客様側の最初の SAProuter との間の接続でのみ SAP が提供する CA 署名済みの証明書が使用されます。バックエンド接続で SNC の SAPCRYPTOLIB を使用する場合は、お客様は CA を自由に選ぶことも、SNC 接続で SAP が一般的に提案している自己署名付き証明書を使用することもできます。
1. お客様が使用されているインストレーション(カスタマー)番号と紐づく S ユーザーを使用して SAP Support Portal にログオンします。
2. SAP ソフトウェアをダウンロードセンターからダウンロード可能な最新の SAProuter を使用します。
[サポートパッケージおよびパッチ] のタブをクリックします。
[By Alphabetical Index (A-Z)] > S > SAPROUTER > SAPROUTER (最新バージョン) > ドロップダウンから OS を選択 > saprouter_XXX-XXXXXXXX.sar を選択 > [ダウンロードバスケット] ボタン
注記:
3. SAP ソフトウェアダウンロードセンターから最新の SAP 暗号ライブラリーをダウンロードします。
[サポートパッケージおよびパッチ] のタブをクリックします。
[By Alphabetical Index (A-Z)] > S > SAPCRYPTOLIB > COMMONCRYPTOLIB (最新バージョン) > ドロップダウンから OS を選択> SAPCRYPTOLIBP_xxxx-xxxxxxxx.SAR を選択 > [ダウンロードバスケット] ボタン
4. SAR アーカイブの解凍に必要な SAPCAR 実行ファイルは、インストレーションカーネル CD から取得できます。または、SAP ソフトウェアダウンロードセンターから最新の SAPCAR 実行ファイルをダウンロードすることもできます。
[サポートパッケージおよびパッチ] のタブをクリックします。
[By Alphabetical Index (A-Z)] > S > SAPCAR > SAPCAR (最新バージョン)
> OS バージョンを選択 > SAPCAR_xxx-xxxxxxxx.EXE
5. コマンド SAPCAR_XXX-XXXXXXXX.EXE -xvf saprouter_XXX-XXXXXXXX.sar を実行して、以下のファイルを解凍します。
6. コマンド SAPCAR_XXX-XXXXXXXX.EXE -xvf SAPCRYPTOLIBP_XXXX-XXXXXXXX.SAR を実行して、以下のファイルを解凍します。
注記:
1. 管理者としてログオンし、環境変数 SNC_LIB および SECUDIR を次のように設定します。
注:
2. SAProuter アプリケーションに移動し、お客様のインストレーションに対して登録されている SAProuter の一覧から、関係する SAProuter を選択します。
3. 以下のいずれかを実行します。
3.1. PSE を生成する。(推奨)
a) SAProuter PSE の登録に使用するパスワードを入力する必要があります。
b) 生成された PSE をダウンロードし、sapgenpse の実行ファイルと同じディレクトリーに "local.pse" というファイル名で保存します。
c) 次のステップ 3.2 をスキップし、ステップ 4 に進みます。
3.2. CSR を送信する。(ステップ 3.1 が失敗した場合)
a) 以下のコマンドを使用して証明書依頼を生成します。
sapgenpse get_pse -v -a sha256WithRsaEncryption -s 4096 -r certreq -p local.pse -x <pse password> "<Distinguished Name>"
例:
sapgenpse get_pse -v -a sha256WithRsaEncryption -s 4096 -r certreq -p local.pse -x examplePassword "CN=example, OU=0000123456, OU=SAProuter, O=SAP, C=DE"
代わりに、次の 2 つのコマンドのいずれかを使用することもできます。
b) 出力ファイル "certreq" を表示し、BEGIN 行から END 行までをコピーして、識別名 (<Distinguished Name>) をコピーした SAProuterアプリケーションのテキスト入力項目に証明書依頼を貼り付けます。
c) 依頼の応答として、CA が署名した証明書が SAProuter アプリケーションの新しいテキスト入力項目に返されます。このテキストを "srcert" という名称で、sapgenpse の実行ファイルと同じディレクトリーにローカルファイルとして保存します。
d) 次に、SAProunter に以下のコマンドを使用して証明書を登録します。
sapgenpse import_own_cert -c srcert -p local.pse -x <pse password>
4. 同じプログラムを使用して SAProuter の認証情報を登録します(-O <user_for_SAProuter> オプションを省略した場合は、ログオンしているユーザーアカウントの認証情報が登録されます)。
sapgenpse seclogin -p local.pse -x <pse password> -O <user_for _SAProuter>
注:前の手順で新しい PSE を生成しており、それを古い PSE ファイルの代わりに使う場合は、まず古い認証情報を必ず削除してください。
sapgenpse seclogin -d <古い認証情報の番号>
5. 以上により、ファイル "cred_v2" が "local.pse" と同じディレクトリーに作成されます。
注:
6. 以下のコマンドを使用して、証明書が正しくインポートされたことをご確認ください。
sapgenpse get_my_name -v -n Issuer
発行者名は以下のようになります。
CN=SAProuter CA, OU=SAProuter, O=SAP Trust Community II, C=DE
7. 上記のような結果が得られない場合は、ファイル "cred_v2"、"local.pse"、"srcert"、"certreq" を削除して、手順 2 から再度行ってください。それでも上記の結果が得られない場合は、コンポーネント XX-SER-NET でケースを登録してください。その際には、これまでに行った操作および実行した sapgenpse コマンドの出力もお知らせください。
SAProuter を実行するアカウントの環境変数に SNC_LIB および SECUDIR が設定されているかどうかを確認します。
UNIX - printenv
Windows - システム環境変数
対応するファイル saprouttab(手動で作成する必要のあるローカルファイルです。通常はメインの SAProuter ディレクトリーに作成します)には、少なくとも以下のエントリーが含まれている必要があります。
SAPROUTTAB の例
ドイツの sapserv2 に対して SNC 接続を登録する場合
# SNC connection to and from SAP
KT "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 194.39.131.34 *
# SNC connection to local system for R/3-Support
# R/3 Server: 192.168.1.1
# R/3 Instance: 00
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.1 3200 (オプションの SAProuter パスワード)
# SNC connection to local WINDOWS system for WTS, if applicable
# Windows server: 192.168.1.2
# Default WTS port: 3389
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.2 3389 (オプションの SAProuter パスワード)
# SNC connection to local UNIX system for SAPtelnet, if applicable
# UNIX server: 192.168.1.3
# Default Telnet port: 23
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.3 23 (オプションの SAProuter パスワード)
# SNC connection to local Portal system for URL access, if applicable
# Portal server: myserver.mydomain
# Port number: 50003
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" myserver.mydomain 50003 (オプションの SAProuter パスワード)
# Access from the local Network to SAP
P 192.168.*.* 194.39.131.34 3299
# deny all other connections
D * * *
SAPROUTTAB の例
シンガポールの sapserv9 に対して SNC 接続を登録する場合
# SNC connection to and from SAP
KT "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 169.145.197.110 *
# SNC connection to local system for R/3-Support
# R/3 Server: 192.168.1.
# R/3 Instance: 00
KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.1 3200 (オプションの SAProuter パスワード)
# SNC connection to local WINDOWS system for WTS, if applicable
# Windows server: 192.168.1.2
# Default WTS port: 3389
KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.2 3389 (オプションの SAProuter パスワード)
# SNC connection to local UNIX system for SAPtelnet, if applicable
# UNIX server: 192.168.1.3
# Default Telnet port: 23
KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.3 23 (オプションの SAProuter パスワード)
# SNC connection to local Portal system for URL access, if applicable
# Portal server: myserver.mydomain
# Port number: 50003
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" myserver.mydomain 50003
# Access from the local Network to SAP
P 192.168.*.* 169.145.197.110 3299
# deny all other connections
D * * *
以下のコマンドを使用して SAProuter を起動します(Windows のサービスとして SAProuter を起動する場合は、SAP Note 525751 を参照して設定します)。
-K は、SNC ライブラリーを読み込んで SAProuter を開始することを指定しています。
<Distingushed Name> : このパラメーターは認証画面のWeb ページで[SAProuter 証明書の申請]ボタンをクリックすると表示されます。
例
saprouter -r -K "p:CN=example, OU=0000123456, OU=SAProuter, O=SAP, C=DE"
-S を省略すると、プロセスはデフォルトポート 3299 で開始されます。
注記:
SAProuter の OS が OS400 である場合は、SAP Note 1818735 を適用してください。
SAProuter を開始できない場合は、SAP ブログ C-runtimes needed to run SAP executables (英語) に記載されている C ランタイムパッケージも適用してください。