很多团队聊 SAP 安全时,注意力容易落在用户权限、RFC 授权对象、S_ICF、S_SERVICE、S_RFC这一层。可一旦把视线挪到数字签名这块,就会发现还有一把更硬的钥匙,握在应用服务器自己手里。对AS ABAP来说,每个应用服务器实例都会有一对公钥和私钥,用来完成数字签名相关操作。那把真正需要死守的私钥,并不躺在数据库表里,也不在业务配置里,而是装在系统自己的PSE文件中,典型文件名是SAPSYS.pse,较老版本里会看到SAPSECU.pse,位置通常在实例目录下的sec子目录。SAP 官方文档同时强调,只有运行应用服务器进程的操作系统用户,像sidadm这样的账户,才应该拥有这个目录和文件的访问权限。(SAP Help Portal)这个点看上去像BASIS运维细节,跟 ABAP 开发似乎隔了一层,实际上它和很多开发场景是直接相连的。只要系统要对外证明这个签名就是我发出来的,那背后站着的就是