giovedì 4 maggio 2017

Rinnovo certificato saprouter.

La connessione ai sistemi centrali di SAP, per esempio per lo scaricamento delle note tramite SNOTE, viene realizzata attraverso una VPN oppure tramite dei saprouter.

Nel secondo caso sono necessari dei certificati, che hanno validità un anno, da installare nel proprio server che funge da saprouter.

Vediamo nel dettaglio i passaggi da seguire per il rinnovo di un certificato.


Intanto, circa un mese prima del termine di validità, si viene avvisati con una mail che la scadenza si sta avvicinando:

Hello,

we would like to inform you about the expiry of your SAProuter
Certificate's validity.

The certificate contains the following data:
CN=<nameserver>, OU=<customernum>, OU=SAProuter, O=SAP, C=DE

Your certificate will expire on 31. May 2017.

IF YOU USE THIS SAPROUTER WITH SECURE NETWORK COMMUNICATION (NOT VPN) THIS WILL MEAN THAT YOU CAN NO LONGER USE THIS SAPROUTER TO ESTABLISH A CONNECTION TO THE SAP SUPPORT.

To prevent this we would like to urgently ask you to replace your
existing Certificate with a new one from the SAP Service Marketplace.

To renew your SAProuter Certificate, please do the following:
- On your SAProuter, save your existing PSE file and old certificate file (if still existant) under different names
- Go to the http://service.sap.com/saprouter-sncadd
- Click on "Apply Now!"
- Follow the steps detailed in the documentation
- More details can be found on the following page:
http://service.sap.com/saprouter-sncdoc

If you encounter any problems, please send a message to SAP using the component XX-SER-NET.

Kind regards,

SAP Trust Center Services
SAP AG
http://service.sap.com/tcs

Nota: ho sostituito

  CN=<nameserver> : è il nome del vostro server.
  OU=<customernum> : corrisponde al vostro codice cliente per SAP.

I passaggi da effettuare sono sostanzialmente questi:
  • Generare richiesta nuovo certificato nel server saprouter, viene creato un file CERTREQ, copiare il contenuto del file.
  • Andare su portale SAP e chiedere nuovo certificato, incollare il testo generato in CERTREQ. Viene generato un nuovo certificato, copiarlo nel file SRCERT nel server.
  • Sul server lanciare i comandi per importare il nuovo certificato.
Operazioni eseguite sul server.

Fermare il servizio saprouter.

Rinominare il file local.pse

da CMD eseguire i comandi (evidenziati in verde i comandi inseriti):

C:\saprouter>set SECUDIR = C:\saprouter

C:\saprouter>set SNC_LIB = C:\saprouter\sapcrypto.dll

C:\saprouter>sapgenpse get_pse -v -a sha256WithRsaEncryption -s 2048 -r certreq -p local.pse "CN=<nameserver>, OU=<customernum>, OU=SAProuter, O=SAP, C=DE"
Got absolute PSE path "C:\saprouter\local.pse".
Please enter PSE PIN/Passphrase: ********
Please reenter PSE PIN/Passphrase: ********

!!! WARNING: For security reasons it is recommended to use a PIN/passphrase
!!! WARNING: which is at least 8 characters long and contains characters in
!!! WARNING: upper and lower case, numbers and non-alphanumeric symbols.

 Supplied distinguished name: "CN=<nameserver>, OU=<customernum>, OU=SAProuter, O=SAP, C=DE"
 Creating PSE with format v2 (default)
 succeeded.
 certificate creation... ok
 PSE update... ok
 PKRoot... ok
Generating certificate request... ok.

Nota: viene chiesto di inserire un PIN che poi si dovrà re-inserire quando si installa il nuovo certificato.

si copia il contenuto del file CERTREQ, e si va sul portale SAP

si prosegue

si incolla qui il contenuto di CERTREQ


si copia il testo completo del nuovo certificato


Completare le operazioni sul server: si incolla il testo del nuovo certificato nel file SRCERT

sempre da CMD

C:\saprouter>sapgenpse import_own_cert -c srcert -p local.pse
Please enter PSE PIN/Passphrase: ********
CA-Response successfully imported into PSE "C:\saprouter\local.pse"

C:\saprouter>sapgenpse seclogin -p local.pse
 running seclogin with USER="<user>"
Please enter PSE PIN/Passphrase: ********
 Warning: credentials already existing
 - for the same user and with the same password
 Added SSO-credentials for PSE "C:\saprouter\local.pse"


C:\saprouter>sapgenpse get_my_name -v -n Issuer
 Opening PSE "C:\saprouter\local.pse"...
 PSE (v2) open ok.
 Retrieving my certificate... ok.
 Getting requested information... ok.
SSO for USER "<user>"
  with PSE file "C:\saprouter\local.pse"

Issuer     : CN=SAProuter CA, OU=SAProuter, O=SAP Trust Community II, C=DE

avviare il servizio saprouter.

Per verificare se il nuovo certificato ed il collegamento funziona eseguire la verifica dalla SM59




Nota: meglio testare il collegamento anche prima di installare il certificato (se non ancora scaduto), in modo da essere sicuri che il collegamento funzioni correttamente anche prima del rinnovo.

Nessun commento:

Posta un commento