HTTPS с российской криптографией в системах документооборота на базе SAP NetWeaver

Для защиты сетевого трафика при Web-доступе пользователей в системы документооборота на базе SAP NetWeaver через браузеры (IE, Firefox и т.д.), а также для защиты трафика при доступе из SAP-систем к сторонним Web-серверам и порталам используется протокол HTTPS/TLS. Со стороны сервера приложений SAP поддержка протокола HTTPS/TLS осуществляется посредством использования библиотеки SAPCRYPTOLIB.

Со стороны пользователя поддержка HTTPS осуществляется браузером.

Для использования HTTPS с российской криптографией в SAP NetWeaver специалистами ООО «ЛИССИ-Софт» была разработана библиотека FOXSAPCRYPTOLIB. Для ее использования ее необходимо установить в систему и в профиле сервера прописать путь к ней:

В качестве PSE (Personal Security Enviroment) сервера приложений для библиотеки FOXSAPCRYPTOLIB используется защищенный контейнер стандарта PKCS#12, в котором личный сертификат сервера приложений с ключевой парой ГОСТ Р 34.10-2001/2012 и сертификатом издателя (Удостоверяющего Центра), путь к которому также необходимо указать в конфигурационном файле:

Далее, в параметрах icm/server_port_xx следует указать, на каких портах следует принимать защищенные соединения, и режим аутентификации клиента:

В вышеприведенной конфигурации на порту 7443 принимаются анонимные TLS-соединения (VCLIENT=0, клиентский сертификат не требуется), а на порту 9443 – только авторизованные TLS-соединения (VCLIENT=2, клиент должен предоставить свой сертификат).

Защита Web-доступа пользователей в SAP-систему

Доступ в систему должен осуществляться через браузеры, поддерживающие российскую криптографию. Сегодня это могут быть:

Следует отдельно отметить, что браузер Firefox с поддержкой российской криптографии работает и на платформе Android, что делает возможным обеспечить защиту трафика и при доступе в систему с платформы Android:

Защита трафика из SAP-систем к сторонним Web-серверам и порталам

В профиле сервера приложений следует прописать путь к PSE, с помощью которого будет производиться аутентификация на целевом Web-сервере:

В транзакции SM59 можно создавать и тестировать соединения различных типов. Например, можно организовать доступ к личному кабинету на сайте Федеральной налоговой службы РФ. Для этого следует нажать кнопку «Create» в главном окне транзакции:

Далее, следует задать имя соединения, например, «TEST_NALOG_LK», тип – «G – HTTP Connection to External Server», а также URL-адрес личного кабинета (в поле «Target Host» - строку «gs.service.nalog.ru», в поле «Path Prefix» - строку «/lk/index.html», в поле «Service No.» - номер порта – 443).

Далее, на вкладке «Logon & Security» следует включить SSL (отметить пункт «Active» в поле «SSL») , в поле «SSL Client Certificate» оставить значение по умолчанию «DFAULT SSL Client (Standard)».

На вкладке «Special Options» в поле «Accept Cookies» следует отметить пункт «Yes (All)».

После этого следует сохранить конфигурацию созданного соединения, нажав кнопку «Save»:

После этого можно нажать кнопку «Connection Test». Отобразится окно с результатами установления соединения. На вкладке «Response Body» появится главное окно личного кабинета:

Аналогичным образом можно организовать защищённый доступ к личному кабинету на портале Госзакупок и другим ресурсам, требующим авторизации по сертификату ЭП.

Поддерживаются все основные платформы SAP: