Dienstag, 27. August 2019

Zertifikatsabfrage beim Aufruf einer ITS-Website deaktivieren

Eher was aus dem Bereich SAP-Basis, aber wichtig…

Folgendes Problem: Man ruft einen SAP-Service (z.B. OData) über den Browser auf und wird aufgefordert, ein Client-Zertifikat mitzugeben. Die Verbindung ist über SSL verschlüsselt.

Dieses Zertifikat ist für die Anmeldung am System gedacht. Beim Service wurde die Zertifikatsanmeldung selbst jedoch gar nicht vorgesehen, daher ist die Anfrage nach einem Zertifikat unsinnig.

Mit dem Profilparameter icm/HTTPS/verify_client könnte man steuern, ob ein Zertifikat grundsätzlich durch den Server angefragt werden soll oder nicht. Dieser Parameter steht jedoch bereits auf 0.

Im ICM-Log steht trotzdem noch folgender Eintrag:
in: args = "role=2 (SERVER), auth_type=1 (ASK_CLIENT_CERT)"


Die Lösung findet sich hier: Beim HTTPS-Service selbst wurde ein Parameter "VCLIENT" gesetzt. Über die SMICM muss der Parameter geändert/deaktiviert werden.

“Using the optional parameter VCLIENT you can specify whether the client should have an X.509 certificate when you use SSL. There are three certification levels (0-2):
  • 0 : No certification is required and the server does not ask for one.
  • 1 : The server asks the client to transfer a certificate. If the client does not send a certificate, authentication is carried out by another method, for example, basic authentication (default setting).
  • 2 : The client must transfer a valid certificate to the server, otherwise access is denied.
This server-specific value overrides the value that is set with parameter icm/HTTPS/verify_client .”


Eingestellt von um

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)