DRAKOS Wiki

mit Zertifikat abgesichert

Um Verschlüsselung der Kommunikation mit SAP neu aufzubauen muss ein lokaler Zertifikatsstore in Form einer PSE- Datei aufgebaut werden.
Dazu alle Zertifikate der Zertifizierungsstalle in die PSE- Datei aufnehmen:
== Hier ein Beispiel ==
Wir erzeugen ene neue PSE Datei und einen Zertifikats- request:
sapgenpse gen_pse -v -s 2048 -r CERTrequest.csr -x <PIN> -p Name].pse „CN=Servername.domain.local,O=[Firma],OU=[IT-Abteilung],C=[LAND]“
Wir fügen das Serverzertifkat in die neue PSE- Datei ein:
sapgenpse maintain_pk -v -p [Name].pse -a cert/SAP-server -x [PIN]
Dann fügen wir die Antwortdatei des Zertifikatsservers in die PSE- Datei ein:
sapgenpse import_own_cert -v -p [Name].pse -r cert/SAP-server -x 1508
mit folgendem befehl können wir uns den Inhalt der PSE- Datei ansehen:
sapgenpse maintain_pk -l -p [Name].pse

und hiermit bekommen wir unseren Benutzer angezeigt: sapgenpse get_my_name -l -v -p [Name].pse
Ausgabe:
Opening PSE „[Name].pse“…
PSE (v2) open ok.
Retrieving my certificate… ok.
Getting requested information… ok.
SSO for USER „XXX“
with PSE file „[Name].pse“

MY Certificate:

Subject : „CN=Servername.domain.local,O=[Firma],OU=[IT-Abteilung],C=[LAND]“ Issuer : CN=Firma ISSUING CA SAP, C=DE Serialno: 40:C4:0Y:XX:00:00:00:00:00:XX KeyInfo : RSA, 2048-bit Validity - NotBefore: Fri Mar 11 14:00:57 2016 (160311130057Z)
NotAfter: Mon Mar 11 14:00:57 2019 (190311130057Z)
—————————————————————————-
FCPath certificate level #1:
—————————————————————————-
Subject : CN=Firma ISSUING CA SAP, C=DE
Issuer : CN=Firma ISSUING CA SAP, C=DE
Serialno: 12:yA:xx:FF:00:00:00:00:00:03
KeyInfo : RSA, 4096-bit
Validity - NotBefore: Fri Oct 31 10:33:31 2014 (141031093331Z)
NotAfter: Sat Oct 31 10:43:31 2020 (201031094331Z)
—————————————————————————-
PKRoot Certificate:
—————————————————————————-
Subject : CN=Firma ROOT CA, C=Land
Issuer : CN=Firma ROOT CA, C=Land
Serialno: 52:42:11:yC:4D:16:yx:8E:4E:0B:EC:B2:01:21:30:7D
KeyInfo : RSA, 4096-bit
Validity - NotBefore: Mon Dec 17 10:20:25 2012 (121217092025Z)
NotAfter: Tue Dec 17 10:30:23 2024 (241217093023Z)
—————————————————————————-
Um ein Zertifikat aus der PSE-datei zu löschen:
sapgenpse seclogin -d 2 #hier wird das 2. Zertifikat gelöscht
sapgenpse seclogin -d 1 #hier wird das 1. Zertifikat gelöscht
Das Zahlenmässig niedrigste Zertifikat ist jeweils das Standard- Zertifikat.

Verlängerung eines bestehenden Zertifikats: mit:
sapgenpse gen_pse -p [Name].pse -onlyreq -O <requestname> -x <PW>
einen request erstellen, der in der Datei <requestname> gespeichert wird.

Diese Text Datei beinhaltet dann die Anfrage, die an den SAP- Betreuer der Zertifizierungsstelle gesendet werden muss.
<Certificate sign request>
—–BEGIN CERTIFICATE REQUEST—–
lkjsiuyopcij0yijojop2678klkmlkjlkmlklk
~~~~lkpASKDPIJSCODHUFOUHDLO
ÖLXPAOJKOPISJCSLKSMSOIJO§()(OIJXOJO
—–END CERTIFICATE REQUEST—–

Es kommt eine Antwort der Zertifizierungsstelle (üblicherweise per Mail), die unseren Request akzeptiert und gegengezeichnet (signed) hat.

Meist besteht diese Antwort aus mehreren Dateien, im Idealfall brauchen wir davon nur eine, nämlich (bei Leonie) diejenige, deren Name mit ???_Chain.p7b endet.
Hierin ist die komplette Kette unseres Zertifikates enthalten.
Die Datei lesen wir mit:
sapgenpse import_own_cert -p [Name].pse -x <PW> -c ???_Chain.p7b
ein und bekommen als Antwort:

CA-Response successfully imported into PSE “[Name].pse„