SAProuter Zertifikat erneuern (SNC) – neue CA
Autor: Tobias Harmes | 1. Juni 2015
Im Hinweis 2131531 weist die SAP darauf hin, dass ab dem 18.07.2015 nur noch SAProuter-Zertifikate gültig sind, welche von der neuen Certification Authority (CA) ausgestellt wurden. Betroffen sind dabei ausschließlich Kunden, welche für die Verbindung zur SAP das SNC-Verfahren und nicht das VPN-Verfahren einsetzen. In diesem Blog-Eintrag erkläre ich Ihnen Schritt für Schritt, wie Sie Ihr SAProuter Zertifikat aktualisieren. Hinweis: 2131531 - New Root Certification Authority for saprouter certificates
Ich werde mich in diesem Beitrag auf die Aktualisierung des Zertifikates auf einem Windows-Server beschränken. Die Schritte lassen sich grundsätzlich analog auf anderen Betriebssystemen durchführen.
Vorbereitung
Stoppen Sie zunächst den SAProuter Service. Hierfür müssen Sie z.B. unter Windows den Service SAProuter stoppen.
Navigieren Sie nun zum Verzeichnis, in dem Ihr SAProuter liegt. In der Regel lautet dieses <Laufwerk>:/usr/sap/saprouter . Erstellen Sie ein Backup des Verzeichnisses mit einem neuen Namen, z.B. saprouter_backup.
Es ist wichtig, dass der SAProuter und die SapCrypto Bibliothek auf dem aktuellen Stand sind:
Derzeit aktuelle SAProuter-Version: 7.42
Derzeit aktuelle SapCryptoLib-Version: 5.5.5
Falls dies bereits der Fall ist, können Sie den nächsten Abschnitt überspringen.
Aktualisieren des SAProuters und SapCryptoLib
Wenn Ihr SAProuter bereits auf dem aktuellen Stand ist, können Sie diesen Schritt überspringen.
Herunterladen können Sie sich die aktuellen Versionen auf dem SAP Supportportal https://support.sap.com/home.html
Klicken Sie auf der Startseite auf Download Software > Support Packages & Patches > A-Z Alphabetical List of Products > S > SAPCRYPTOLIB bzw. SAPROUTER
Um die heruntergeladenen Pakete zu installieren, empfiehlt es sich, eine aktuelle Version von SAPCAR zu verwenden. Diese können Sie ebenfalls unter den oben genannten Pfad herunter laden. Legen Sie die heruntergeladenen Pakete und das SAPCAR Programm in einen Ordner.
In diesem können Sie die heruntergeladenen Pakete entpacken. Navigieren Sie nun mit der Kommandozeile in den Order, welcher die Pakete und das SAPCAR Programm enthält und führen Sie die beiden folgenden Befehle aus, um die Pakete zu entpacken:
sapcar -xvf SAPCRYPTOLIB_38-10010888.SAR -R SAPCRYPTOLIB
sapcar -xvf saprouter_111-80000100.sar -R saprouter
Als nächsteskönnen Sie den Inhalt des neu erstellten Ordners saprouter in das Verzeichnis Ihres SAProuters kopieren. Aus dem erstellten SAPCRYPTOLIB Ordner kopieren Sie die für Ihr Betriebssystem passende Version ebenfalls in das Verzeichnis des SAProuters.
Erstellen des neuen SAProuter Zertifikates
Um das neue SAProuter-Zertifikat zu erstellen, benötigen Sie zunächst eine lokale PSE-Datei, welche den Client Schlüssel beinhaltet. Um diesen zu erstellen benötigen Sie den Distinguished Name des SAP Web Dispatcher. Dieser sieht in der Regel wie folgt aus: CN=<Hostname>, OU=I<Installationsnummer>-<Firmenname>, OU=SAP Web AS, O=SAP Trust Community, C=DE. Sie finden diesen Namen im SAP Marketplace unter https://support.sap.com/remote-support/saprouter/saprouter-certificates.html. Dort können Sie auf den Button “Apply for a SAProuter certificate” Ihren entsprechenden Distinguished Name anzeigen lassen und auch ein neues SAProuter-Zertifikat beantragen.
Diese Seite benötigen Sie auch im späteren Verlauf dieses Beitrags. Zunächst wird jedoch der Client-Schlüssel benötigt. Dieser wird mit dem folgenden Befehl erstellt:
sapgenpse get_pse -v -a sha256WithRsaEncryption -s 2048 -r certreq -p local.pse "<Distinguished Name>"
Beachten Sie, dass Sie für <Distinguished Name> Ihre eigenen Distinguished Name eingeben müssen.
Sie werden nach einem PIN gefragt. Geben Sie hier einen von Ihnen ausgewählten vierstelligen numerischen PIN ein. Merken Sie sich diesen PIN, da Sie ihn noch mehrmals benötigen werden.
SAP Basis Berater - gesamte Projekte oder Berater auf Zeit
Sie suchen Unterstützung durch SAP Basis Berater? Wir bieten mehr als nur einen gewöhnlichen Berater auf Zeit. Informieren Sie sich über Ihre Vorteile!
Dieser Befehl erzeugt eine Datei mit dem Namen “certreq” in dem SAProuter Verzeichnis. Öffnen Sie nun diese Datei mit einem Texteditor und kopieren Sie sich die Zertifikatanfrage in die Zwischenablage. Beachten Sie, die komplette Datei zu kopieren, also auch “—–BEGIN CERTIFICATE REQUEST—–” und “—–END CERTIFICATE REQUEST—–” .
Diese Anfrage können Sie nun im SAP Support Portal hochladen um ein entsprechendes SAProuter Zertifikat zu beantragen. Dazu rufen Sie, falls noch nicht geschehen, den folgenden Link auf und klicken auf “Apply for SAProuter certificate“. Hier können Sie nun den entsprechenden SAProuter auswählen und mit einem Klick auf “Weiter” kommen Sie zur Eingabemaske in welche Sie die Anfrage aus der Zwischenablage einfügen können.
Mit dem Klick auf “Zertifikate anfordern” schicken Sie das Formular ab.
Kopieren Sie nun das erstelle SAProuter Zertifikat inklusive “—–BEGIN CERTIFICATE—–” und “—–END CERTIFICATE—–” in eine Datei mit dem Namen “scert” in Ihrem SAProuter-Verzeichnis.
Zertifikat in lokale Datei importieren
Nun müssen Sie das Zertifikat in Ihre lokale PSE-Datei importieren, dies können Sie mit dem folgenden Befehl machen:
sapgenpse import_own_cert -c scert -p local.pse
Geben Sie ggf. Ihren PIN ein.
Nun sollten Sie folgende Meldung sehen:
CA-Response successfully imported into PSE "<Laufwerk>/usr/sap/saprouter/local.pse"
Nun müssen Sie noch die Datei “cred_v2” erstellen, in welcher die Anmeldedaten gespeichert werden. Hier ebenfalls den PIN eingeben, wenn gefragt wird.
sapgenpse seclogin -p local.pse -O <Benutzer für den SAProuter>
Um zu überprüfen, ob der Import erfolgreich war, können Sie folgenden Befehl verwenden:
sapgenpse get_my_name -v -n Issuer
Dieser Befehl sollte unter anderem die folgende Zeile beinhalten:
CN=SAProuter CA, OU=SAProuter, O=SAP Trust Community II, C=DE
Falls Sie dieses Tutorial vor dem 18.06.2015 ausführen, müssen Sie noch den Anhang, die Datei “smprootca.der“, aus der Note 2131531 herunterladen. Die heruntergeladene Datei müssen Sie jetzt nur noch in das SAProuter Verzeichnis kopieren und den folgenden Befehl ausführen und bei Aufforderung den PIN eingeben:
sapgenpse maintain_pk -a smprootca.der -p local.pse
Nun können Sie den Service analog wie im ersten Schritt starten.
Ihre Meinung
Ich hoffe Ihnen konnte dieser Beitrag weiterhelfen, Ihr SAProuter Zertifikat zu aktualisieren und freue mich auf Ihr Feedback und Anregungen.
6 Kommentare zu "SAProuter Zertifikat erneuern (SNC) – neue CA"
Vielen Dank für die Anleitung!
es hat sich ein kleiner Fehler eingeschlichen:
sapgenpse import_own_cert -c srcert -p local.pse
Die vorgschlagene Datei hieß scert nich srcert.
Gruß
vom Erftverband
Vielen Dank für den Hinweis. Ich habe den kleinen Tippfehler behoben.
Viele Grüße
Maximilian Strunz
“Um das neue SAProuter-Zertifikat zu erstellen, benötigen Sie zunächst eine lokale PSE-Datei, welche den Client Schlüssel beinhaltet. Um diesen zu erstellen benötigen Sie den Distinguished Name des SAP Web Dispatcher”
Ist hiermit nicht der Distinguished Name des SAProuters der bei der SAP regestriert wurde gemeint?
Frage an den Autor:
Ich habe gehört, dass man statt das Zertifikat zu verwenden auch eine Site-2-Site Verbindung zum SAP SAPRouter herstellen kann. Ist dem tatsächlich so und falls ja, wie wäre hier das Vorgehen?
Antwort:
Ja, Sie können mit dem sapserv1 eine site2site-VPN-Verbindung nutzen. Da müssen Sie einen Rückmeldebogen ausfüllen, in denen Sie Ihre Firewall und die Public-IP Ihres saprouters angeben. Es muss eine Public-IP sein – auch wenn die IP dann nur in dem Site2Site-VPN-Tunnel erreichbar ist.
28976 – Remote-Rückmeldebogen https://launchpad.support.sap.com/#/notes/28976/D <- das habe ich immer in ein Word-Dokument kopiert und dann ein PDF generiert. 598265 - Verschiedene Anbindungsvarianten, Auflistung sapservX https://launchpad.support.sap.com/#/notes/598265/D
Hallo Tobias,
wenn man ein saprouter via eine VPN Verbindung zu SAP konfiguriert/installiert, benötigt man trotzdem die Zertifikate ? Alos muss man die Zertifikate wie hier beschrieben trotzdem installieren ?
Vielen Dank
Viele Grüße
Hallo Steffan,
die Anleitung war für den Fall, dass man nicht über ein Site2Site-VPN zwischen der eigenen Firewall und der SAP-Firewall geht, sondern über das offene Internet. Ich würde aber auch im VPN-Szenario unbedingt empfehlen, eine SNC-Verbindung zu verwenden. Ich weiß nicht, ob SAP überhaupt noch Nicht-SNC-Verbindungen zulässt, selbst wenn sie über eine gesicherte VPN-Verbindung geführt werden.
Viele Grüße
Tobias