SNC による SAProuter の設定

SAP Cryptographic Library をダウンロードおよびインストールして、SAProuter で使用するために必要な手順は以下のとおりです。

SAP 暗号ライブラリーのライセンスに関しては、SAP Note 597059 をご参照ください。

SAP が提供する CA 署名済みの証明書は、SAP の SAProuter とお客様側の最初の SAProuter との間の接続で使用されます。

バックエンド接続で SNC の SAPCRYPTOLIB を使用する場合は、お客様は CA を自由に選ぶことも、SNC 接続で SAP が一般的に提案している自己署名付き証明書を使用することもできます。

SAProuter のダウンロード

1. お客様が使用されているインストレーション(カスタマー)番号と紐づく S ユーザーを使用して SAP Support Portal にログオンします。

2. SAP ソフトウェアをダウンロードセンターからダウンロード可能な最新の SAProuter を使用します。

[サポートパッケージおよびパッチ] のタブをクリックします。


[By Alphabetical Index (A-Z)] > S > SAPROUTER >  SAPROUTER (最新バージョン) > ドロップダウンから OS を選択 > saprouter_XXX-XXXXXXXX.sar を選択 > [ダウンロードバスケット] ボタン

注記:

  • Linux の場合、必要に応じて環境変数 $LIBPATH に SAProuter ディレクトリーを指定してください。
  • SAProuter の OS が Windows である場合は、SAP Note 1553465 の適用が必要となる場合があります。
  • SAProuter の OS が OS400 である場合は、SAP Note 2173275 に記載のすべての手順を実行してください。

3. SAP ソフトウェアダウンロードセンターから最新の SAP 暗号ライブラリーをダウンロードします。

[サポートパッケージおよびパッチ] のタブをクリックします。

[By Alphabetical Index (A-Z)] > S > SAPCRYPTOLIB > COMMONCRYPTOLIB (最新バージョン) > ドロップダウンから OS を選択> SAPCRYPTOLIBP_xxxx-xxxxxxxx.SAR を選択 > [ダウンロードバスケット] ボタン

4. SAR アーカイブの解凍に必要な SAPCAR 実行ファイルは、インストレーションカーネル CD から取得できます。または、SAP ソフトウェアダウンロードセンターから最新の SAPCAR 実行ファイルをダウンロードすることもできます。


[サポートパッケージおよびパッチ] のタブをクリックします。

[By Alphabetical Index (A-Z)] > S > SAPCAR > SAPCAR (最新バージョン)
> OS バージョンを選択 > SAPCAR_xxx-xxxxxxxx.EXE

5. コマンド SAPCAR_XXX-XXXXXXXX.EXE -xvf saprouter_XXX-XXXXXXXX.sar を実行して、以下のファイルを解凍します。

  • ysaprouter[.exe]
  • niping[.exe}]

6. コマンド SAPCAR_XXX-XXXXXXXX.EXE -xvf SAPCRYPTOLIBP_XXXX-XXXXXXXX.SAR を実行して、以下のファイルを解凍します。

  • [lib]sapcrypto.[dll|so|sl]
  • sapgenpse[.exe]

注記:

  • ご指定の SAProuter ディレクトリーで SAPCRYPTOLIBP、SAPCAR、SAPROUTER ですべてのファイルを解凍することをお勧めします。

認証情報を登録する

認証情報を登録する

1. 管理者としてログオンし、環境変数 SNC_LIB および SECUDIR を次のように設定します。

UNIX
  • SECUDIR = <directory_of_SAProuter>
  • SNC_LIB = <path_to_libsecude>/<name_of_sapcrypto_library>
Windows NT、2000、XP 以上
  • SECUDIR = <directory_of_SAProuter>
  • SNC_LIB = <drive>:\<path_to_libsecude>\sapcrypto.dll

注:

  • Windows で変数を設定した後、コマンド 'set' を使用して変数を確認してください。変数が入力したとおりに表示されない場合は、サーバーを再起動します。
  • SAProuter の OS が OS400 である場合は、SAP Note 2173275 を適用します。
     

2. SAProuter アプリケーションに移動し、お客様のインストレーションに対して登録されている SAProuter の一覧から、関係する SAProuter を選択します。
 

3. 以下のいずれかを実行します。

3.1. PSE を生成する。(推奨)

a) SAProuter PSE の登録に使用するパスワードを入力する必要があります。

b) 生成された PSE をダウンロードし、sapgenpse の実行ファイルと同じディレクトリーに "local.pse" というファイル名で保存します。

c) 次のステップ 3.2 をスキップし、ステップ 4 に進みます。

3.2. CSR を送信する。(ステップ 3.1 が失敗した場合)

a) 以下のコマンドを使用して証明書依頼を生成します。

sapgenpse get_pse -v -a sha256WithRsaEncryption -s 4096 -r certreq -p local.pse -x <pse password> "<Distinguished Name>"

例:

sapgenpse get_pse -v -a sha256WithRsaEncryption -s 4096 -r certreq -p local.pse -x examplePassword "CN=example, OU=0000123456, OU=SAProuter, O=SAP, C=DE"

代わりに、次の 2 つのコマンドのいずれかを使用することもできます。

  • sapgenpse get_pse -v -a sha256WithRsaEncryption -s 4096 -noreq -p local.pse -x <pse password> "<Distinguished Name>"
  • sapgenpse get_pse -v -onlyreq -r certreq -p local.pse -x <pse password>

b) 出力ファイル "certreq" を表示し、BEGIN 行から END 行までをコピーして、識別名 (<Distinguished Name>) をコピーした SAProuterアプリケーションのテキスト入力項目に証明書依頼を貼り付けます。

c) 依頼の応答として、CA が署名した証明書が SAProuter アプリケーションの新しいテキスト入力項目に返されます。このテキストを "srcert" という名称で、sapgenpse の実行ファイルと同じディレクトリーにローカルファイルとして保存します。

d) 次に、SAProunter に以下のコマンドを使用して証明書を登録します。

sapgenpse import_own_cert -c srcert -p local.pse -x <pse password>


4. 同じプログラムを使用して SAProuter の認証情報を登録します(-O <user_for_SAProuter> オプションを省略した場合は、ログオンしているユーザーアカウントの認証情報が登録されます)。

sapgenpse seclogin -p local.pse -x <pse password> -O <user_for _SAProuter>

注:前の手順で新しい PSE を生成しており、それを古い PSE ファイルの代わりに使う場合は、まず古い認証情報を必ず削除してください。

sapgenpse seclogin -d <古い認証情報の番号>
 

5. 以上により、ファイル "cred_v2" が "local.pse" と同じディレクトリーに作成されます。

注:

  • サービスユーザーのアカウントは、必ず完全な <ドメイン名>\<ユーザー名> の形式で入力してください。
  • セキュリティの向上のため、このファイルには SAProuter を実行するユーザーからのみアクセスできることを確認してください。
  • UNIX では、同じグループからのアクセスを含め、ほかのアクセスを一切許可しないでください。これは、パーミッションを 600(場合によってはもっと厳重に 400)に設定するということです。
  • Windows では、サービスを実行するユーザーにのみアクセスが許可されていることを確認してください。
     

6. 以下のコマンドを使用して、証明書が正しくインポートされたことをご確認ください。

sapgenpse get_my_name -v -n Issuer

発行者名は以下のようになります。

CN=SAProuter CA, OU=SAProuter, O=SAP Trust Community II, C=DE
 

7. 上記のような結果が得られない場合は、ファイル "cred_v2"、"local.pse"、"srcert"、"certreq" を削除して、手順 2 から再度行ってください。それでも上記の結果が得られない場合は、コンポーネント XX-SER-NET でケースを登録してください。その際には、これまでに行った操作および実行した sapgenpse コマンドの出力もお知らせください。

SAProuter の起動前に必要な設定

SAProuter を実行するアカウントの環境変数に SNC_LIB および SECUDIR が設定されているかどうかを確認します。

UNIX - printenv

Windows - システム環境変数

対応するファイル saprouttab(手動で作成する必要のあるローカルファイルです。通常はメインの SAProuter ディレクトリーに作成します)には、少なくとも以下のエントリーが含まれている必要があります。

 

SAPROUTTAB の例
ドイツの sapserv2 に対して SNC 接続を登録する場合

# SNC connection to and from SAP

KT "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 194.39.131.34 *

 

# SNC connection to local system for R/3-Support

# R/3 Server: 192.168.1.1

# R/3 Instance: 00

KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.1 3200 (オプションの SAProuter パスワード)

 

# SNC connection to local WINDOWS system for WTS, if applicable

# Windows server: 192.168.1.2

# Default WTS port: 3389

KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.2 3389 (オプションの SAProuter パスワード)

 

# SNC connection to local UNIX system for SAPtelnet, if applicable

# UNIX server: 192.168.1.3

# Default Telnet port: 23

KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 192.168.1.3 23 (オプションの SAProuter パスワード)

 

# SNC connection to local Portal system for URL access, if applicable

# Portal server: myserver.mydomain

# Port number: 50003

KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" myserver.mydomain 50003 (オプションの SAProuter パスワード)

 

# Access from the local Network to SAP

P 192.168.*.* 194.39.131.34 3299

 

# deny all other connections

D * * *

 

SAPROUTTAB の例

シンガポールの sapserv9 に対して SNC 接続を登録する場合

# SNC connection to and from SAP

KT "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 169.145.197.110 *

 

# SNC connection to local system for R/3-Support

# R/3 Server: 192.168.1.

# R/3 Instance: 00

KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.1 3200 (オプションの SAProuter パスワード)

 

# SNC connection to local WINDOWS system for WTS, if applicable

# Windows server: 192.168.1.2

# Default WTS port: 3389

KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.2 3389 (オプションの SAProuter パスワード)

 

# SNC connection to local UNIX system for SAPtelnet, if applicable

# UNIX server: 192.168.1.3

# Default Telnet port: 23

KP "p:CN=sapserv9, OU=SAProuter, O=SAP, C=DE" 192.168.1.3 23 (オプションの SAProuter パスワード)

 

# SNC connection to local Portal system for URL access, if applicable

# Portal server: myserver.mydomain

# Port number: 50003

KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" myserver.mydomain 50003

 

# Access from the local Network to SAP

P 192.168.*.* 169.145.197.110 3299

 

# deny all other connections

D * * *

 

以下のコマンドを使用して SAProuter を起動します(Windows のサービスとして SAProuter を起動する場合は、SAP Note 525751 を参照して設定します)。

-K は、SNC ライブラリーを読み込んで SAProuter を開始することを指定しています。

<Distingushed Name> : このパラメーターは認証画面のWeb ページで[SAProuter 証明書の申請]ボタンをクリックすると表示されます。

 

saprouter -r -K "p:CN=example, OU=0000123456, OU=SAProuter, O=SAP, C=DE"

-S を省略すると、プロセスはデフォルトポート 3299 で開始されます。

注記:

SAProuter の OS が OS400 である場合は、SAP Note 1818735 を適用してください。

 

SAProuter を開始できない場合は、SAP ブログ C-runtimes needed to run SAP executables (英語) に記載されている C ランタイムパッケージも適用してください。