HTTPS с российской криптографией в системах документооборота на базе SAP NetWeaver
Для защиты сетевого трафика при Web-доступе пользователей в системы документооборота на базе SAP NetWeaver через браузеры (IE, Firefox и т.д.), а также для защиты трафика при доступе из SAP-систем к сторонним Web-серверам и порталам используется протокол HTTPS/TLS. Со стороны сервера приложений SAP поддержка протокола HTTPS/TLS осуществляется посредством использования библиотеки SAPCRYPTOLIB.
Со стороны пользователя поддержка HTTPS осуществляется браузером.
)
Для использования HTTPS с российской криптографией в SAP NetWeaver специалистами ООО «ЛИССИ-Софт» была разработана библиотека FOXSAPCRYPTOLIB. Для ее использования ее необходимо установить в систему и в профиле сервера прописать путь к ней:
)
В качестве PSE (Personal Security Enviroment) сервера приложений для библиотеки FOXSAPCRYPTOLIB используется защищенный контейнер стандарта PKCS#12, в котором личный сертификат сервера приложений с ключевой парой ГОСТ Р 34.10-2001/2012 и сертификатом издателя (Удостоверяющего Центра), путь к которому также необходимо указать в конфигурационном файле:
)
Далее, в параметрах icm/server_port_xx следует указать, на каких портах следует принимать защищенные соединения, и режим аутентификации клиента:
)
В вышеприведенной конфигурации на порту 7443 принимаются анонимные TLS-соединения (VCLIENT=0, клиентский сертификат не требуется), а на порту 9443 – только авторизованные TLS-соединения (VCLIENT=2, клиент должен предоставить свой сертификат).
Защита Web-доступа пользователей в SAP-систему
Доступ в систему должен осуществляться через браузеры, поддерживающие российскую криптографию. Сегодня это могут быть:
)
)
)
)
Следует отдельно отметить, что браузер Firefox с поддержкой российской криптографии работает и на платформе Android, что делает возможным обеспечить защиту трафика и при доступе в систему с платформы Android:
)
)
Защита трафика из SAP-систем к сторонним Web-серверам и порталам
В профиле сервера приложений следует прописать путь к PSE, с помощью которого будет производиться аутентификация на целевом Web-сервере:
)
В транзакции SM59 можно создавать и тестировать соединения различных типов. Например, можно организовать доступ к личному кабинету на сайте Федеральной налоговой службы РФ. Для этого следует нажать кнопку «Create» в главном окне транзакции:
)
Далее, следует задать имя соединения, например, «TEST_NALOG_LK», тип – «G – HTTP Connection to External Server», а также URL-адрес личного кабинета (в поле «Target Host» - строку «gs.service.nalog.ru», в поле «Path Prefix» - строку «/lk/index.html», в поле «Service No.» - номер порта – 443).
)
Далее, на вкладке «Logon & Security» следует включить SSL (отметить пункт «Active» в поле «SSL») , в поле «SSL Client Certificate» оставить значение по умолчанию «DFAULT SSL Client (Standard)».
На вкладке «Special Options» в поле «Accept Cookies» следует отметить пункт «Yes (All)».
)
После этого следует сохранить конфигурацию созданного соединения, нажав кнопку «Save»:
)
После этого можно нажать кнопку «Connection Test». Отобразится окно с результатами установления соединения. На вкладке «Response Body» появится главное окно личного кабинета:
)
Аналогичным образом можно организовать защищённый доступ к личному кабинету на портале Госзакупок и другим ресурсам, требующим авторизации по сертификату ЭП.
Поддерживаются все основные платформы SAP:
MS Windows;
Linux;
IBM AIX;
SUN Solaris;
HP-UX.
