在本教程中,我们将向您展示如何在 SAP 上生成 CSR。
生成 CSR 代码之前
在 SAP 中,证书签名请求(CSR)由PSE(个人安全环境)生成。在ABAP系统中,您可以在信任管理器 (STRUST) 中进行此操作;您也可以通过sapgenpse (SAP CommonCryptoLib) 在操作系统级别生成 CSR。
如果使用特定于服务器的 SSL 服务器 PSE,则为每个应用服务器创建一个 CSR。如果使用全系统 SSL 服务器 PSE(例如SSL 服务器标准),请创建一个 CSR。
ABAP 方法 – STRUST(信任管理器)
- 打开信任管理器:在 SAP GUI 中,运行事务
STRUST。 - 选择或创建正确的 PSE:在左侧树中,选择SSL 服务器 PSE。选择实际使用的 PSE:全系统 SSL 服务器标准或特定于实例的服务器 PSE。
- 如果不存在 PSE(或者您要替换它),右键单击> 创建(或替换)。这将打开创建/替换 PSE,在此输入主题 (DN)。
- 输入您的组织详细信息(DN 字段):
- C(国家):双字母代码,如 US
- S / SP(州/省):全称,如格鲁吉亚
- L(地点/城市):如亚特兰大
- O(组织):法定公司名称,如贵公司 LLC
- OU(组织单位):该字段已废弃,留空或输入 NA
- CN(通用名称):您要保护的确切主机名(FQDN),或通配符,如*.yourdomain.com
- 创建 CSR:选择 PSE 后,选择创建证书请求。在对话框中,复制CSR 文本或将其保存到文件中。这是发送给 CA 的内容。
注意 SAN(主题替代名称):现代客户端根据 SAN 而不是 CN 来验证主机名。某些系统上的 STRUST 不提供 SAN 字段;较新的堆栈提供了一个替换向导(需要 SAP 注释 2414090),可以指导整个过程。如果您的用户界面不提供 SAN,请使用下面的 CLI 方法包含 SAN。
命令行方法 –
sapgenpse(显式 SAN)如果您必须在 CSR 中保证SAN,或者您的用户界面不提供 SAN 字段,请使用此功能。要求SAP CommonCryptoLib支持 SAN(8.4.42 以上版本有相关记录)。根据平台设置环境(例如
SECUDIR)。示例:创建/刷新 PSE 并输出带有 SAN 的 CSR
sapgenpse get_pse -p SAPSSLS.pse -x \
-a sha256WithRsaEncryption -s 2048 \
-k GN-dNSName:example.com -k GN-dNSName:www.yourdomain.com \
"CN=example.com, OU=NA, O=Your Company LLC, L=Atlanta, SP=Georgia, C=US" \
-r server.csr注意:某些 SAP 用户界面(如 Web Dispatcher PSE Management)没有 SAN 字段;SAP 的 KBA 指导您在用户界面外生成此类 CSR。
在 SSL 订购过程中,您需要将 CSR 内容复制到相应的框中。
CA 验证 CSR 并签发 SSL 证书后,就可以继续执行SAP SSL 安装说明。


