Reicht es aus, die SSL-Verbindung zu Ihrem Java-System zu aktivieren?

Zuletzt aktualisiert: 5.1 .2026

Die Aktivierung von SSL (Secure Sockets Layer) / TLS auf Ihrem SAP-Java-System ist die baseline für die Verschlüsselung der Kommunikation zwischen dem Server und dem Webbrowser. Standardmäßig übertragen SAP-Java-Systeme Daten über unverschlüsseltes HTTP, wodurch Anmeldedaten und Geschäftsdaten für Man-in-the-Middle-Angriffe (MitM) anfällig sind.

Allerdings reicht es nicht aus, lediglich den SSL-Port zu aktivieren (in der Regel 50001) reicht nicht aus. Um das System vollständig zu sichern, müssen Sie außerdem den gesamten Datenverkehr mithilfe der icm/HTTP/redirect Parameter. Diese Anleitung führt Sie durch die Erstellung von Zertifikaten im NetWeaver Administrator (NWA) und die Konfiguration der ICM Parameter, denn eine ordnungsgemäße Verschlüsselung ist weit mehr als nur eine gesetzliche Vorschrift.

Was ist SSL/TLS?

Secure Sockets Layer (SSL)/Transport Layer Security (TLS) ist ein Protokoll, das zur Verschlüsselung der Kommunikation zwischen zwei Entitäten (in diesem Fall einem Java-System und einem Webbrowser) dient, indem öffentliche und private Schlüssel ausgetauscht werden, um sichere Sitzungen zwischen ihnen herzustellen. Standardmäßig ist SSL/TLS im SAP-Java-System nicht aktiviert. Daher ist es äußerst wichtig, es zu konfigurieren, um die Verschlüsselung zu aktivieren und so die Sicherheit Ihres Systems zu gewährleisten.

Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung zur Konfiguration dieses Protokolls in einem Java-System.

Konfiguration von SSL/TLS in Java-Systemen

• Melden Sie sich per SSH beim Server an und nehmen Sie im Instanzprofil folgende Einstellungen vor:
  • icm/server_port_xx = PROT=HTTPS, PORT=5<instance_number>01, SSLCONFIG=ssl_config_1
  • icm/ssl_config_1 = VCLIENT=0, CRED=/usr/sap/<SID>/<Instance_number>/sec/SAPSSLS.pse. Check if the location of the file SAPSSLS.pse is valid. If it is not, change the path where the file is present.

• Log in to the SAP NetWaver Administration page with an administrator user: http://<host>:<port>/nwa
• Navigieren Sie zum folgenden Pfad:„Konfiguration → Zertifikate und Schlüssel“
• From the list of Key Storage views, select the ICM_SSL_<instance_id>. Once the view is selected, key Storage details will appear.

Standardmäßig enthalten diese Keystore-Ansichten ein Schlüsselpaar, das während der Installation für die Verwendung von SSL auf dem AS Java erstellt wird. Dieses Schlüsselpaar ist von einer Test-Zertifizierungsstelle (CA) signiert.

• Wählen Sie jeden Eintrag aus, der auf der Registerkarte„Einträge anzeigen“aufgeführt ist, und klicken Sie auf die Schaltfläche„Löschen“. Bestätigen Sie jeden Vorgang.

• Sobald alle Einträge gelöscht sind, klicken Sie auf die Schaltfläche„Erstellen“, um einen neuen Eintrag hinzuzufügen:

• Füllen Sie im neuen Fenster die folgenden Felder aus:
  • Bezeichnung des Eintrags
  • Algorithmus
  • Schlüssellänge
  • Gültig ab
  • Gültig bis
     
• Zertifikat speichern

Klicken Sie auf die Schaltfläche„Weiter“, wenn alle Felder ausgefüllt sind.

• Füllen Sie auf der nächsten Seite die Pflichtfelder aus:
  • Ländername
  • Name des Bundeslandes oder der Provinz
  • Name der Organisation
  • Ortsname
  • Name der Organisationseinheit
  • Allgemeiner Name

Sobald Sie alle Felder ausgefüllt haben, klicken Sie auf die Schaltfläche„Weiter“.

• Klicken Sie auf der nächsten Seite erneut auf„Weiter“:

• Überprüfen Sie die Zusammenfassung und klicken Sie auf die Schaltfläche„Fertigstellen“, wenn alles korrekt ist. Andernfalls klicken Sie auf„Zurück“, um Angaben zu ändern:

• Nachdem Sie auf die Schaltfläche„Fertigstellen“geklickt haben, gelangen Sie zurück zur ersten Seite. Dort werden zwei neue Einträge angezeigt:

• Wählen Sie den Eintrag„ssl-crendentials“oder den von Ihnen gewählten Namen aus und klicken Sie auf die Schaltfläche„CSR-Anfrage generieren“. Es erscheint ein Popup-Fenster. Wählen Sie dort„Base64 PKCS#10“aus und klicken Sie auf die Schaltfläche„Herunterladen“:

Speichern Sie die Datei.

• Öffnen Sie die Datei mit einem beliebigen Texteditor. Das Zertifikat muss von einer zertifizierten Zertifizierungsstelle (CA) signiert sein. Die Signatur des Zertifikats wird hier nicht näher beschrieben, da die Vorgehensweise davon abhängt, welche Zertifizierungsstelle Sie wählen.

• Sobald das Zertifikat von der Zertifizierungsstelle signiert wurde, müssen Sie das neue signierte Zertifikat speichern, den Eintrag„ssl-credentials“auswählen und die Option„CSR-Antwort importieren“wählen:

• Durchsuchen Sie die einzelnen generierten CRT-Dateien und klicken Sie auf die Schaltfläche„Hinzufügen“. Wie Sie sehen können, wird jedes Zertifikat zur Liste hinzugefügt:

• Once the previous step is completed, you must restart the J2EE engine. Log in to the server using SSH and run the following command with <SID>adm user:

• When the system is completely up, connect to the following URL: http://<host>:<ssl_port>/nwa

Reicht es aus, SSL zu aktivieren?

Nein, das reicht nicht aus. SSL ist nun zwar aktiviert, aber der Port ohne SSL ist weiterhin verfügbar. Wenn wir also nichts unternehmen, ist eine unverschlüsselte Kommunikation zwischen dem Browser und dem Java-System möglich und könnte ausgenutzt werden. Ein Angreifer könnte diese Schwachstelle im System mit einem Man-in-the-Middle-Angriff ausnutzen. 

Es gibt viele Möglichkeiten, den Zugriff über den Port ohne SSL zu blockieren, wir empfehlen jedoch, den Parameter„icm/HTTP/redirect_x“einzustellen. Mit diesem Parameter können HTTP-Anfragen an ein anderes Ziel umgeleitet werden. In diesem Fall nutzen wir ihn, um die HTTP-Anfragen auf das HTTPS-Protokoll umzuleiten. Um den Parameter zu konfigurieren, führen Sie bitte die folgenden Schritte aus:

1. Log in to the server using SSH with <SID>adm user
2. Go to the following path: /usr/sap/<SID>/SYS/profile
3. Add the parameter ‘icm/HTTP/redirect_<x>’ in the instance profile where SSL was configured. <x> must be specified from 0 in ascending order
4. Set this value to redirect all http requests to https protocol
   icm/HTTP/redirect_<x> = PREFIX=/, FROM=*, FROMPROT=http, PROT=https, HOST=sap_host.domain, PORT=5<instance_number>01
5. Speichern Sie die Änderungen und starten Sie die J2EE-Engine neu
6. Wenn Sie nach dem Neustart des Systems versuchen, eine Verbindung über den Port ohne SSL herzustellen, werden Sie auf den Port mit SSL umgeleitet

Ihr Java-System ist nun besser vor internen und externen Angriffen geschützt. Onapsis hat es sich zur Aufgabe gemacht, seinen Kunden die besten Empfehlungen und Lösungen für die Konfiguration ihrer SAP-Systeme zu bieten, um deren Sicherheit zu gewährleisten. Darüber hinaus Platform die Platform ein Modul, mit dem überprüft werden kann, ob in Ihrem Java-System SSL aktiviert ist und ob eine Verbindung ohne SSL möglich ist.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Informationen darüber wünschen, wie Onapsis Ihre geschäftskritischen Anwendungen schützen kann.

Wenn Sie mehr über die aktuellsten geschäftskritischen Themen im Bereich Anwendungssicherheit und unsere kontinuierlichen Bemühungen erfahren möchten, Wissen mit der Sicherheits-Community zu teilen,abonnieren Sie unseren monatlichen Newsletter „Defender’s Digest“.

Häufig gestellte Fragen (FAQs)

Reicht die Aktivierung von SSL aus, um mein SAP-Java-System zu sichern?

Nein. Durch die bloße Aktivierung von SSL/TLS wird lediglich der sichere Port (z. B. 50001) geöffnet. Der unsichere HTTP-Port (z. B. 50000) bleibt offen und zugänglich. Um das System vollständig zu sichern, müssen Sie die icm/HTTP/redirect_<x> Parameter, um den gesamten eingehenden HTTP-Datenverkehr auf das HTTPS-Protokoll umzuleiten und so den unsicheren Einstiegspunkt effektiv zu schließen.

Warum ist der SAP-SSL-Port 50001 nicht aktiv?

Wenn Port 50001 (oder 5<Instance>01) nicht aktiv ist, deutet dies in der Regel auf einen Konfigurationsfehler im Instanzprofil oder im Schlüsselspeicher hin.

1. Parameter prüfen: Stellen Sie sicher, dass icm/server_port_xx ist eingestellt auf PROT=HTTPS.
2. Instanz überprüfen: Port 50001 entspricht der Instanz 00. Wenn Ihre Instanz 01, lautet der Port 50101.
3. Zertifikate prüfen: Stellen Sie sicher, dass die ICM_SSL_<instance_id> Die Ansicht in NWA enthält ein gültiges Schlüsselpaar. Falls das Zertifikat fehlt oder abgelaufen ist, kann die Bindung des SSL-Ports fehlschlagen.

Wie leite ich in SAP Java HTTP-Anfragen auf HTTPS um?

Um den Datenverkehr umzuleiten, melden Sie sich über SSH an und bearbeiten Sie das Instanzprofil (/usr/sap/<SID>/SYS/profile). Fügen Sie den Parameter hinzu: icm/HTTP/redirect_<x> = PREFIX=/, FROM=*, FROMPROT=http, PROT=https, HOST=sap_host.domain, PORT=5<instance_number>01. Starten Sie die J2EE-Engine neu, um die Änderungen zu übernehmen.

Wo verwalte ich SSL-Zertifikate in SAP NetWeaver Java?

Zertifikate werden über die SAP NetWeaver-Administrator (NWA). Navigieren Sie zu Konfiguration → Zertifikate und Schlüssel. Die spezifische Ansicht für den SSL-Port heißt ICM_SSL_<instance_id>. Von hier aus können Sie Standard-Testzertifikate löschen, neue CSR-Anfragen erstellen und signierte Zertifikate von Ihrer Zertifizierungsstelle (CA) importieren.

Weiterführende Literatur

• Webinar:So schützen Sie Ihre geschäftskritischen SAP-Anwendungen vor moderner Ransomware
• Whitepaper:Abwehr der Bedrohung durch Ransomware für geschäftskritische SAP-Anwendungen
• Whitepaper:Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen