在STRUST中自动部署SSL证书

2020-08-15 15:14发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

由于我公司有很多服务器,因此手动将SSL证书放入STRUST是一件很累的事情。 另外,由于我使用Letsencrypt作为我的CA来签署证书,因此它只有3个月的有效期,因此很难记住续订日期。 我知道如何使用Certbot在操作系统级别自动进行证书更新。

但是如何在SAP Tcode-STRUST中自动化证书的部署过程。 有什么脚本可以做到吗? 我只希望每当服务器需要更新证书时,它就会自动生成证书签名请求(CSR),从CA获取签名证书,并将其部署在STRUST中。

我正在使用SAP NetWeaver AS ABAP。 请提供任何有助于自动化过程的建议。 有人能自动化这个过程吗? 如何知道证书何时过期? 如何自动创建x509 cer文件? 如何将x509自动上传到SAP ABAP? 请让我知道是否需要更多信息。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

由于我公司有很多服务器,因此手动将SSL证书放入STRUST是一件很累的事情。 另外,由于我使用Letsencrypt作为我的CA来签署证书,因此它只有3个月的有效期,因此很难记住续订日期。 我知道如何使用Certbot在操作系统级别自动进行证书更新。

但是如何在SAP Tcode-STRUST中自动化证书的部署过程。 有什么脚本可以做到吗? 我只希望每当服务器需要更新证书时,它就会自动生成证书签名请求(CSR),从CA获取签名证书,并将其部署在STRUST中。

我正在使用SAP NetWeaver AS ABAP。 请提供任何有助于自动化过程的建议。 有人能自动化这个过程吗? 如何知道证书何时过期? 如何自动创建x509 cer文件? 如何将x509自动上传到SAP ABAP? 请让我知道是否需要更多信息。

付费偷看设置
发送
9条回答
N-Moskvin
1楼 · 2020-08-15 15:54.采纳回答

我听说没有任何工具可以批量上传证书。

但是至少,您可以使用此报告:

SSF_ALERT_CERTEXPIRE

您 会收到有关即将过期的证书的警报。 该报告包含许多选项。

附录:您可以使用注释 1014077-下行端口:用于SSO2信任配置(ABAP)的API (STRUSTSSO2与STRUST几乎相同,除了SAP Logon票证还有其他部分); 也许还可以查看注释 1130923-外部STRUST-API(提前交付),但是否存在 是真的很正式。

小熊yu生菜
2楼-- · 2020-08-15 16:05

Ritesh Bansal 您会再次问同样的问题吗? 如果是这样,那么让我与之前的回答相同:)顺便说一句,如果您计划开发一种工具来使其自动化并发布,那么社区当然会非常感谢您。 哦,我看到了什么,让我编辑我的答案,请在2分钟内检查它。

蓋茨
3楼-- · 2020-08-15 16:10

Ritesh,

Sandra的答案是最好的答案,但我必须评论 3个月的有效期似乎非常非常短。 您是否需要公开签名的证书-即您的系统可以通过Internet访问吗? -还是内部生成的证书对您有用? 如果后者是正确的,是否有理由不使用您自己的内部CA对证书进行签名? 如果您使用的是Windows网络,并且您的用户是该域的成员,则可以安装Microsoft CA并使用组策略将对该CA的信任关系推给您的域成员,这将在IE和Chrome浏览器中都起作用。 然后,您可以控制证书的有效期,例如将其推到5年而不是3个月。 它不是自动化的,但可以大大减轻头痛。

干杯,
马特

悠然的二货
4楼-- · 2020-08-15 16:01

嗨,马特,

感谢您的回复。 我需要公开签名的证书,因为它适用于所有系统(在所有操作系统上)。 可能有些人也在Mac或Linux上工作,那么就会出现信任问题。 我可以轻松地通过CA获得签名证书,并且可以每天续签,但是如何将其自动放入SAP系统(STRUST)。

Alawn_Xu
5楼-- · 2020-08-15 16:11

您可以在脚本中使用sapgenpse import_own_cert来 自动更新由Let's Encrypt颁发的PSE中的证书。

clasier
6楼-- · 2020-08-15 16:06

嗨,萨穆利,

我仍在等待您的回复。

还有另一个问题,如果我想通过CA续签签名证书,那么是否需要通过sapgenpse创建新的服务器PSE? 如果不是这样的话,如何通过sapgenpse删除STRUST中已经存在的已签名证书,以便导入新的已签名证书。

Bunny_CDM
7楼-- · 2020-08-15 15:50

Ritesh,

一种处理方法 此问题是使用安全登录服务器的证书生命周期管理功能。

查看此处: ABAP应用程序服务器的证书生命周期管理

这提供了完全的自动化功能,但具有以下缺点:

  • 这会花钱(" SAP Single Sign-On"-许可证)
  • 我怀疑它是否会与公共信任的CA集成(但我不确定,因此可能值得 研究)

致谢,卢茨

一周热门 更多>