Verifizierung des eigenen Zertifikats fehlgeschlagen (A2210210)
Falls Sie die Meldung erhalten, dass die Überprüfung des eigenen Zertifikats fehlgeschlagen ist, sollten Sie überprüfen, ob das erste Zertifikat des Simplifiers PSE Keystore korrekt in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems importiert wurde.
Im Simplifier können Sie einfach zu “Einstellungen” -> “SAP Security” -> “PSE-Datei” navigieren und das erste Zertifikat in der Liste herunterladen.
Fahren Sie dann mit dem Import dieses Zertifikats in den SNC SAPCryptolib Keystore des gewünschten SAP-Systems fort.
Am Ende sollte die Situation so aussehen wie in den Screenshots unten.
Das SAP-eigene Zertifikat (im Screenshot z.B. CN=ID4) sollte ein fremdes Zertifikat in der Simplifiers PSE-Datei sein und umgekehrt sollte das eigene Zertifikat von Simplifiers (hier z.B. CN=SimplifierCn) ein fremdes Zertifikat im SNC SAPCryptolib Keystore von SAP sein.
Überprüfung des Peerzertifikats fehlgeschlagen (A2200210)
Wenn Sie auf den Fehler “Peer Certificate validation failed” stoßen, dann überprüfen Sie, ob Sie das ‘eigene Zertifikat’ des Partner-SAP-Systems (des SNC SAPCryptolib Keystore) in den PSE Keystore Ihrer Simplifier-Instanz importiert haben.
Melden Sie sich am SAP-System an und navigieren Sie zur Transaktion “STRUST”.
Der zweite Eintrag von oben auf der linken Seite ist in der Regel der SNC SAPCryptolib Keystore.
Wählen Sie diesen Keystore aus, dann sollte das erste Zertifikat in der Liste mit einem der fremden Zertifikate übereinstimmen, die Sie im Simplifier finden, wenn Sie zu “Einstellungen” -> “SAP Security” -> “PSE-Datei” navigieren.
Wenn es dort fehlt, laden Sie das erste Zertifikat von SAP (codiert als Base64) herunter und fügen Sie es mit dem “+”-Symbol oben rechts zur Simplifiers PSE-Datei hinzu.
Am Ende sollte die Situation so aussehen wie in den obigen Screenshots.
Der tatsächliche Servername weicht ab (A2200202)
Wenn Sie auf den Fehler “Tatsächlicher Servername weicht ab” stoßen, sollten Sie überprüfen, ob das Feld “SNC-Partner” im SAP-System der Anmeldemethode korrekt ist.
Falls der Common Name des ersten Zertifikats in Ihrem SAPs SNC SAPCryptolib Keystore “SAP_PROD” ist, sollte der ‘SNC Partner’ mit “CN=SAP_PROD” gefüllt werden.
Keine externen Authentifizierungsdaten angegeben
Wahrscheinlich wurde das Attribut “Geheimer Benutzer” nicht ausgefüllt.
Stellen Sie sicher, dass Sie sich mit der gleichen Authentifizierung angemeldet haben, die in der Anmeldemethode des Konnektors verwendet wird, und dass die Authentifizierung über ein User Secret verfügt.
Kein passender SAP-Benutzer gefunden
Wenn Sie auf den Fehler stoßen, dass kein geeigneter SAP-Benutzer für die externe Benutzeridentität gefunden wurde, konnte kein Benutzer in der VUSREXTID-Tabelle von SAP abgebildet werden.
Stellen Sie sicher, dass der ExtID-Typ sowohl auf der Simplifier-Seite (er wird in der Login-Methode konfiguriert) als auch auf der SAP-Seite (z.B. in den Screenshots ist er “LD” für LDAP) korrekt ist und dass der Wert der ExtID im User Secret Ihrer Authentifizierung wie erwartet ist und mit einem linken Seitenwert in VUSREXTID übereinstimmt.
SNC-Name des Partnersystems nicht in ACL
Die SCN-Verbindung konnte nicht hergestellt werden.
Stellen Sie sicher, dass Sie einen Eintrag in der ACL von SAP für ‘p:CN=<CN_OF_CERT_OF_YOUR_SIMPLIFIER_INSTANCE>’ haben und dass RFC, CPIC und ext.
ID sind in diesem Eintrag aktiviert.
Siehe Beschreibung der SNC0-Transaktion in der Dokumentation.
Es wurden keine Anmeldeinformationen angegeben
Wenn die folgende Meldung angezeigt wird: Die SCN-Verbindung konnte nicht hergestellt werden.
Bitte stellen Sie sicher, dass Sie den sap.cryptoLib.user und das Passwort in Ihren Einstellungen (z.B. in include.conf) festgelegt haben.
Simplifier wird dort mit vorkonfigurierten Werten ausgeliefert – und vor allem der User-Wert (“root”) muss nicht verändert werden.
Der Benutzer muss der Benutzer sein, der den Simplifier-Prozess ausführt.
Falls Sie das sap.cryptoLib.password ändern, müssen Sie den Simplifiers PSE Keystore neu erstellen und das Verfahren durchführen, um die Zertifikate beider Seiten (SAP und Simplifier) wieder miteinander bekannt zu machen.
Bitte stellen Sie auch sicher, dass die Umgebungsvariable SECUDIR korrekt gesetzt ist; In der Regel wird es auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt, wenn Simplifier in einer Docker-Umgebung ausgeführt wird.
Wenn Sie Simplifier wie angegeben ausführen, sollten keine Änderungen erforderlich sein.
Andere mögliche Probleme
In den folgenden Absätzen werden mögliche Probleme und deren Lösungen aufgelistet.
Man muss dies manuell überprüfen (Zugriff auf das Host-System ist ERFORDERLICH)
Existenz (OS/HOST-SYSTEM)
- Die cred_v2 Datei im SECUDIR muss auf dem Betriebssystem vorhanden sein.
- Die PSE-Datei für den angegebenen EIGENEN NAMEN muss auf dem Betriebssystem vorhanden sein.
Zugang(JAVA/DOCKER)
- Die SAP Cryptographic Library arbeitet mit ABSOLUTE-Dateipfaden, nicht mit relativen Dateipfaden.
Bitte stellen Sie sicher, dass der JAVA-Prozess auf den in der cred_v2 Datei angegebenen Pfad zugreifen kann
Berechtigungen (OS/DOCKER)
- Die cred_v2 Datei im Verzeichnis SECUDIR benötigt READ-Permissions für den aktuell laufenden Benutzer.
- Jeder Teil des Pfads zur cred_v2 Datei erfordert auch READ-Permissions für den aktuell ausgeführten Benutzer.
- Die PSE-Datei , die für den angegebenen EIGENEN NAMEN verwendet wird, erfordert READ-Permissions für den aktuell laufenden Benutzer.
Eigener Name (bereitgestellter allgemeiner Name der PSE-Datei) (OS/SIMPLIFIER ADMIN UI)
Der Inhalt der
cred_v2 Datei kann im SIMPLIFIER ADMIN UI auf der Unterregisterkarte PSE-Datei unter der Registerkarte SAP Security mit der Schaltfläche Show Credentials eingesehen werden.
- Der angegebene EIGENE NAME muss über einen Eintrag in der Anmeldeinformationsdatei verfügen.
- Bitte achten Sie auf Tippfehler, ein Leerzeichen ist ein GÜLTIGES Zeichen nach dem CN= Teil des eigenen Namens
- Bitte stellen Sie sicher, dass die richtige cred_v2 Datei verwendet wurde (korrekter Wert für die Umgebungsvariable SECUDIR)
- Der angegebene OWN NAME muss für den aktuell laufenden Benutzer lesbar sein.
- Der angegebene EIGENE NAME darf nicht mehr als einen Eintrag in der Credential-Datei haben (in der cred_v2-Datei KÖNNEN mehrere verschiedene PSE-Dateien referenziert werden)
Die Umgebungsvariable SECUDIR ist nicht gesetzt
Die SCN-Verbindung konnte nicht hergestellt werden, da die Umgebungsvariable SECUDIR nicht gesetzt ist.
Stellen Sie sicher, dass Sie Simplifier mit dem richtigen run.sh ausführen, dann sollte die Umgebungsvariable SECUDIR auf ‘/opt/simplifier/data/SapSecurity/SECUDIR’ gesetzt werden.
Dies ist der Ort, an dem eine cred_v2 Datei abgelegt wird.
Diese Datei wird bei der Erstellung des Keystores erstellt und legt fest, welcher Prozessbenutzer auf den PSE-Keystore von Simplifier zugreifen kann.