Archiv pro měsíc: Listopad 2015

SSL certifikáty na jeden rok zdarma

Již dříve jsem psal o tom jak vytvořit certifikát. Dnes jsem si zaregistroval novou doménu a potřeboval jsem pro ni získat důvěryhodný certifikát. Již brzy (3.12.2015) by měla být spuštěna veřejná beta verze projektu Letsencrypt na kterou se už moc těším a doufám že ji můj webhosting ihned implementuje. Pomocí ní bude možné generovat důvěryhodné certifikáty zdarma. O Letsencrypt píšou třeba na root.cz.

Nechtělo se mi tedy samozřejmě za certifikát pro testovací doménu platit – takže jsem zagooglil a našel jsem společnost čínskou společnost WoSign, která nabízí důvěryhodný certifikát na jeden rok zcela zdarma. Stačí se zdarma zaregistrovat, ověřit doménu pomocí e-mailu nebo nahráním vygenerovaného html souboru.

Zdroj: https://www.ohling.org/blog/2015/02/wosign-free-2y-ssl-certificate.html

 

 

Nastavení saprouteru a zabezpečení pomocí SNC

Instalační balíčky

Instalační balíčky je možné stáhnout na stránkách SAPu. Jsou potřeba tři balíčky:

  1. SAPCAR (na rozbalení SAR archivů)
  2. SAPROUTER (samotný program saprouter)
  3. SAPCRYPTOLIB (nutné pro podporu zabezpečené komunikace – SNC)

Balíčky s příponou *.sar se musí rozbalit pomocí programu SAPCAR:

Dále je zapotřebí vytvořit následující složkovou strukturu ve /var/lib/saprouter/ a do ní zkopírovat libsapcrypto.so a sapgenpse vybalené z archivu sapcryptolib, výsledná struktura by měla vypadat takhle:

Vytvořit link pro binárku sapgenpse:

Vytvořit uživatele pod kterým bude spuštěn saprouter:

Nastavit proměnné pro sapgenpse vytvořením následujícího souboru /etc/profile.d/saprouter.sh:

Init script

SAP společně s binárkou saprouter bohužel nedodává init script, jak saprouter startovat po startu nechává na lidové tvořivosti. Zde je funkční init script pro RedHat 6.x který spouští saprouter pod dedikovaným uživatelem. Umí také provést reload saprouttabu.

Zajistit spouštění služby po startu systému:

Dále je dobré nastavit v /etc/sudoers přebírání proměnných které říkají kde je umístěna knihovna sapcryptolib a secudir (složka obsahující certifikát a úložiště privátního klíče):

Dále lze v sudoers povolit uživateli admin-saprouter pomocí příkazu sudo provádět restart saprouteru a generování certifikátu pomocí sapgenpse, podobným způsobem lze nastavit pro skupinu uživatelů:

Saprouttab a SNC komunikace

Pokud chcete aby saprouter komunikoval zabezpečeně je potřeba nastavit ho pro takzvanou SNC komunikaci. Tato komunikace je zabezpečena certifikátem. Proto aby vám SNC fungovalo potřebujete nakonfigurovat saprouter tak aby používal sapcryptolib a certifikát, který si vygenerujete na stránkách SAPu.

Generování certifikátu pro SNC

Všechno začíná návštěvou stránek SAPu kde po přihlášení můžete najít svoje DN (Your Distinguished Name). Toto jméno vyplníte do příkazu pomocí kterého vygenerujete privátní klíč a vaši žádost o podepsání certifikátu:

Nyní vezmete soubor umístěný v $SECUDIR a jmenující se cert do schránky a projdete procesem vystavění certifikátu na stránkách SAPu, kde bude potřeba tuto žádost o certifikát vložit. Po úspěšném absolvování tohoto procesu by jste měli získat certifikát podepsaný SAP autoritou, který lze naimportovat do souboru local.pse:

Posledním krokem je vytvoření souboru pro odemknutí úložiště (local.pse) pro uživatele saprouter (pro uživatele pod kterým poběží saprouter):

Následně je potřeba v init scriptu nastavit správné DN certifikátu a přepsat/vytvořit saprouttab do následující syntaxe:

Test spojení do OSS pomocí niping

Binární soubor niping je testovací program pro NI-Layer (dá se přirovnat k nástroji ping). Jestli je všechno správně nastavené tak lze pomocí nipingu vyzkoušet spojení na servery SAPu:

Tento návod budu postupně ještě doplňovat. V případě dotazů pište komentáře.