Im Hinweis 2131531 weist die SAP darauf hin, dass ab dem 18.07.2015 nur noch SAProuter-Zertifikate gültig sind, welche von der neuen Certification Authority (CA) ausgestellt wurden. Betroffen sind dabei ausschließlich Kunden, welche für die Verbindung zur SAP das SNC-Verfahren und nicht das VPN-Verfahren einsetzen. In diesem Blog-Eintrag erkläre ich Ihnen Schritt für Schritt, wie Sie Ihr SAProuter Zertifikat aktualisieren.
Hinweis: 2131531 – New Root Certification Authority for saprouter certificates
Ich werde mich in diesem Beitrag auf die Aktualisierung des Zertifikates auf einem Windows-Server beschränken. Die Schritte lassen sich grundsätzlich analog auf anderen Betriebssystemen durchführen.
Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.
In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.
Vorbereitung
Stoppen Sie zunächst den SAProuter Service. Hierfür müssen Sie z.B. unter Windows den Service SAProuter stoppen.
Navigieren Sie nun zum Verzeichnis, in dem Ihr SAProuter liegt. In der Regel lautet dieses <Laufwerk>:/usr/sap/saprouter . Erstellen Sie ein Backup des Verzeichnisses mit einem neuen Namen, z.B. saprouter_backup.
Es ist wichtig, dass der SAProuter und die SapCrypto Bibliothek auf dem aktuellen Stand sind:
Derzeit aktuelle SAProuter-Version: 7.42
Derzeit aktuelle SapCryptoLib-Version: 5.5.5
Falls dies bereits der Fall ist, können Sie den nächsten Abschnitt überspringen.
Aktualisieren des SAProuters und SapCryptoLib
Wenn Ihr SAProuter bereits auf dem aktuellen Stand ist, können Sie diesen Schritt überspringen.
Herunterladen können Sie sich die aktuellen Versionen auf dem SAP Supportportal https://support.sap.com/home.html
Klicken Sie auf der Startseite auf Download Software > Support Packages & Patches > A-Z Alphabetical List of Products > S > SAPCRYPTOLIB bzw. SAPROUTER
Um die heruntergeladenen Pakete zu installieren, empfiehlt es sich, eine aktuelle Version von SAPCAR zu verwenden. Diese können Sie ebenfalls unter den oben genannten Pfad herunter laden. Legen Sie die heruntergeladenen Pakete und das SAPCAR Programm in einen Ordner.
In diesem können Sie die heruntergeladenen Pakete entpacken. Navigieren Sie nun mit der Kommandozeile in den Order, welcher die Pakete und das SAPCAR Programm enthält und führen Sie die beiden folgenden Befehle aus, um die Pakete zu entpacken:
sapcar -xvf SAPCRYPTOLIB_38-10010888.SAR -R SAPCRYPTOLIB
sapcar -xvf saprouter_111-80000100.sar -R saprouter
Als nächstes können Sie den Inhalt des neu erstellten Ordners saprouter in das Verzeichnis Ihres SAProuters kopieren. Aus dem erstellten SAPCRYPTOLIB Ordner kopieren Sie die für Ihr Betriebssystem passende Version ebenfalls in das Verzeichnis des SAProuters.
Erstellen des neuen SAProuter Zertifikates
Um das neue SAProuter-Zertifikat zu erstellen, benötigen Sie zunächst eine lokale PSE-Datei, welche den Client Schlüssel beinhaltet. Um diesen zu erstellen benötigen Sie den Distinguished Name des SAP Web Dispatcher. Dieser sieht in der Regel wie folgt aus: CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE. Sie finden diesen Namen im SAP Marketplace unter https://support.sap.com/remote-support/saprouter/saprouter-certificates.html. Dort können Sie auf den Button „Apply for a SAProuter certificate“ Ihren entsprechenden Distinguished Name anzeigen lassen und auch ein neues SAProuter-Zertifikat beantragen.
Diese Seite benötigen Sie auch im späteren Verlauf dieses Beitrags. Zunächst wird jedoch der Client-Schlüssel benötigt. Dieser wird mit dem folgenden Befehl erstellt:
sapgenpse get_pse -v -a sha256WithRsaEncryption -s 2048 -r certreq -p local.pse „<Distinguished Name>“
Beachten Sie, dass Sie für <Distinguished Name> Ihre eigenen Distinguished Name eingeben müssen.
Sie werden nach einem PIN gefragt. Geben Sie hier einen von Ihnen ausgewählten vierstelligen numerischen PIN ein. Merken Sie sich diesen PIN, da Sie ihn noch mehrmals benötigen werden.
Dieser Befehl erzeugt eine Datei mit dem Namen „certreq“ in dem SAProuter Verzeichnis. Öffnen Sie nun diese Datei mit einem Texteditor und kopieren Sie sich die Zertifikatanfrage in die Zwischenablage. Beachten Sie, die komplette Datei zu kopieren, also auch „—–BEGIN CERTIFICATE REQUEST—–“ und „—–END CERTIFICATE REQUEST—–“ .
Diese Anfrage können Sie nun im SAP Support Portal hochladen um ein entsprechendes SAProuter Zertifikat zu beantragen. Dazu rufen Sie, falls noch nicht geschehen, den folgenden Link auf und klicken auf „Apply for SAProuter certificate„. Hier können Sie nun den entsprechenden SAProuter auswählen und mit einem Klick auf „Weiter“ kommen Sie zur Eingabemaske in welche Sie die Anfrage aus der Zwischenablage einfügen können.
Mit dem Klick auf „Zertifikate anfordern“ schicken Sie das Formular ab.
Kopieren Sie nun das erstelle SAProuter Zertifikat inklusive „—–BEGIN CERTIFICATE—–“ und „—–END CERTIFICATE—–“ in eine Datei mit dem Namen „scert“ in Ihrem SAProuter-Verzeichnis.
Nun müssen Sie das Zertifikat in Ihre lokale PSE-Datei importieren, dies können Sie mit dem folgenden Befehl machen:
sapgenpse import_own_cert -c scert -p local.pse
Geben Sie ggf. Ihren PIN ein.
Nun sollten Sie folgende Meldung sehen:
CA-Response successfully imported into PSE „<Laufwerk>/usr/sap/saprouter/local.pse“
Nun müssen Sie noch die Datei „cred_v2“ erstellen, in welcher die Anmeldedaten gespeichert werden. Hier ebenfalls den PIN eingeben, wenn gefragt wird.
sapgenpse seclogin -p local.pse -O <Benutzer für den SAProuter>
Um zu überprüfen, ob der Import erfolgreich war, können Sie folgenden Befehl verwenden:
sapgenpse get_my_name -v -n Issuer
Dieser Befehl sollte unter anderem die folgende Zeile beinhalten:
CN=SAProuter CA, OU=SAProuter, O=SAP Trust Community II, C=DE
Falls Sie dieses Tutorial vor dem 18.06.2015 ausführen, müssen Sie noch den Anhang, die Datei „smprootca.der„, aus der Note 2131531 herunterladen. Die heruntergeladene Datei müssen Sie jetzt nur noch in das SAProuter Verzeichnis kopieren und den folgenden Befehl ausführen und bei Aufforderung den PIN eingeben:
sapgenpse maintain_pk -a smprootca.der -p local.pse
Nun können Sie den Service analog wie im ersten Schritt starten.
Ich hoffe Ihnen konnte dieser Beitrag weiterhelfen, Ihr SAProuter Zertifikat zu aktualisieren und freue mich auf Ihr Feedback und Anregungen.
Benötigen Sie Unterstützung bei der Aktualisierung des Zertifikates? Gerne unterstützen wir Sie auch kurzfristig.
The post SAProuter Zertifikat erneuern (SNC) – neue CA appeared first on rz10.de - die SAP Basis und Security Experten.