En el
blog anterior
, discutimos sobre las vistas de almacén de claves y la renovación del certificado SSL del servidor en SAP NW Java. En esta parte, veamos el papel de las vistas de almacén de claves en las comunicaciones de PI.
Básicamente, la comunicación entre PI y sistemas de terceros se puede considerar en dos tipos,
-
Entrante (envío de mensajes al Motor de Adaptadores Avanzado) - Adaptador de Envío
-
Saliente (envío de mensajes a un Sistema Externo) - Adaptador de Recepción
Entrante
Para comunicaciones entrantes, cuando se envía un mensaje al Motor de Adaptadores Avanzado, AS Java actúa como el servidor SSL y presenta su certificado de servidor al cliente como parte del procedimiento de handshake SSL. En estos casos, el certificado del servidor SSL de PI debe ser confiable por el sistema de terceros (lado del cliente). Esto permite que el cliente SSL acepte el certificado del servidor en el handshake SSL. Desde el lado de PI, si se utiliza autenticación básica, no se requiere configuración adicional en el lado del servidor, pero si se solicita autenticación de certificado de cliente o es requerida por la configuración del ClientCertLoginModule, se requieren pasos de configuración adicionales. Para obtener más información sobre la configuración de autenticación de certificado de cliente en el adaptador de envío, te sugiero leer
este excelente blog
por Aashish Sinha.
Saliente
Para la comunicación saliente, cuando envías mensajes desde el Motor de Adaptadores Avanzado a un sistema externo, AS Java actúa como el cliente SSL. En este escenario, dependiendo del tipo de autenticación, hemos mantenido dos tipos diferentes de certificados en dos vistas de almacén de claves diferentes.
Autenticación
|
Vista de almacén de claves
|
Certificado
|
Básica
|
TrustedCAs
|
Certificado público emisor (CA) del servidor SSL
|
Certificado de cliente
|
Vista de almacén de claves de clave privada y certificado público
|
La clave privada del certificado debe estar presente con el nombre/alias exacto de la clave privada.
|
TrustedCAs
|
Certificado público emisor (CA) del servidor SSL
|
La tabla anterior proporcionará información rápida sobre qué certificados y almacenes de claves se requieren para una comunicación exitosa. Echemos un vistazo a un ejemplo de cada tipo con capturas de pantalla. Para instrucciones paso a paso para importar un certificado en una vista de almacén de claves, por favor revisa
Nota SAP 2056672 - Cómo importar certificados de servidor en el sistema PI
Ejemplo 1: Conexión HTTPS sin autenticación.
Canal de comunicación del adaptador receptor SOAP conectando con SSL pero sin autenticación como se muestra a continuación.
En este caso, solo el certificado del servidor de la URL de destino en TrustedCAs será suficiente.
Ejemplo 2: Conexión HTTPS con Autenticación de certificado de cliente.
Canal de comunicación del adaptador receptor SOAP conectando con HTTPS y autenticación de certificado de cliente.
La entrada del almacén de claves de la vista de almacén de claves elegida en el canal de comunicación debe contener la clave privada del certificado.
En algunos casos, la comunicación aún podría fallar con un error SSL, en tales casos, intenta importar el certificado del servidor de la URL de destino en TrustedCAs, si el problema persiste, intenta solucionar problemas de conectividad del canal de comunicación utilizando la herramienta XPI inspector.
Eso es todo por esta parte, en la