Obnova certifikátu SAP routeru bez odstávky

Jak obnovit certifikát pro SAProuter

Již dříve jsem psal článek o tom jak rozchodit saprouter, který komunikuje po zabezpečeném kanálu. Jelikož je pro SNC spojení nutný certifikát, který má pouze roční platnost je nutné certifikát přes skončením platnosti prodloužit.

Špatná dokumentace od SAPu

Na spoustě webů (včetně oficiální dokumentace SAPu) je popsán špatný postup, který předpokládá že je možné provést odstávku saprouteru. V těch špatných postupech vám tvrdí že je nutné smazat privátní klíč, znovu ho vygenerovat, pak z vygenerovat CSR a ten podepsat na stránkách SAPu. Jde to ale i jinak. Nebude nutné hlásit odstávku – pokud ano tak pouze pro restart saprouter daemona, což zabere asi 5 sekund.

Kontrola stavu certifikátu

Prvním krokem bude že se podíváme do kdy platí stávající certifikát:

Tento příkaz nám vypíše výstup podobný tomuto:

Z výstupu je vidět že certifikátu brzy skončí platnost – tedy je nutné ho nahradit novým.

Vygenerování CSR

Následujícím příkazem vygenerujete CSR, který následně najdete ve složce $SECUDIR a samotný soubor s CSR se bude jmenovat certreq:

Nyní je nutné zkopírovat obsah souboru certreq do schránky. Soubor je možné vypsat třeba takto pomocí příkazu cat:

Obsah souboru certreq by měl vypadat přibližně takto:

Podepsání CSR

Nyní je nutné podepsat CSR na stránkách SAPu. Stránky SAPu se často mění, ale přesto uvádím odkaz: https://support.sap.com/remote-support/saprouter/saprouter-certificates.html. Na těchto stránkách vložíte obsah schránky do textového pole a projdete průvodcem, který vám vygeneruje z CSR certifikát. Certifikát si opět zkopírujeme do schránky. Na serveru kde máme saprouter ho uložíme do souboru s názvem cert, který musí být ve složce $SECUDIR. V souboru cert bude pravděpodobně starý certifikát – tedy ho přepište novým. Pokud si nevěříte tak si raději předem tento soubor zazálohujte.

Import certifikátu

Posledním krokem je import/nahrazení samotného certifikátu. To provedeme příkazem:

Kontrola importu

Ověříme že se certifikát opravdu naimportoval a nahradil certifikát původní:

Nyní zbývá už jenom provést restart saprouteru pomocí příkazu:

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *