Archiv pro štítek: Certifikát

Obnova certifikátu SAP routeru bez odstávky

Jak obnovit certifikát pro SAProuter

Již dříve jsem psal článek o tom jak rozchodit saprouter, který komunikuje po zabezpečeném kanálu. Jelikož je pro SNC spojení nutný certifikát, který má pouze roční platnost je nutné certifikát přes skončením platnosti prodloužit.

Špatná dokumentace od SAPu

Na spoustě webů (včetně oficiální dokumentace SAPu) je popsán špatný postup, který předpokládá že je možné provést odstávku saprouteru. V těch špatných postupech vám tvrdí že je nutné smazat privátní klíč, znovu ho vygenerovat, pak z vygenerovat CSR a ten podepsat na stránkách SAPu. Jde to ale i jinak. Nebude nutné hlásit odstávku – pokud ano tak pouze pro restart saprouter daemona, což zabere asi 5 sekund.

Kontrola stavu certifikátu

Prvním krokem bude že se podíváme do kdy platí stávající certifikát:

Tento příkaz nám vypíše výstup podobný tomuto:

Z výstupu je vidět že certifikátu brzy skončí platnost – tedy je nutné ho nahradit novým.

Vygenerování CSR

Následujícím příkazem vygenerujete CSR, který následně najdete ve složce $SECUDIR a samotný soubor s CSR se bude jmenovat certreq:

Nyní je nutné zkopírovat obsah souboru certreq do schránky. Soubor je možné vypsat třeba takto pomocí příkazu cat:

Obsah souboru certreq by měl vypadat přibližně takto:

Podepsání CSR

Nyní je nutné podepsat CSR na stránkách SAPu. Stránky SAPu se často mění, ale přesto uvádím odkaz: https://support.sap.com/remote-support/saprouter/saprouter-certificates.html. Na těchto stránkách vložíte obsah schránky do textového pole a projdete průvodcem, který vám vygeneruje z CSR certifikát. Certifikát si opět zkopírujeme do schránky. Na serveru kde máme saprouter ho uložíme do souboru s názvem cert, který musí být ve složce $SECUDIR. V souboru cert bude pravděpodobně starý certifikát – tedy ho přepište novým. Pokud si nevěříte tak si raději předem tento soubor zazálohujte.

Import certifikátu

Posledním krokem je import/nahrazení samotného certifikátu. To provedeme příkazem:

Kontrola importu

Ověříme že se certifikát opravdu naimportoval a nahradil certifikát původní:

Nyní zbývá už jenom provést restart saprouteru pomocí příkazu:

SSL certifikáty na jeden rok zdarma

Již dříve jsem psal o tom jak vytvořit certifikát. Dnes jsem si zaregistroval novou doménu a potřeboval jsem pro ni získat důvěryhodný certifikát. Již brzy (3.12.2015) by měla být spuštěna veřejná beta verze projektu Letsencrypt na kterou se už moc těším a doufám že ji můj webhosting ihned implementuje. Pomocí ní bude možné generovat důvěryhodné certifikáty zdarma. O Letsencrypt píšou třeba na root.cz.

Nechtělo se mi tedy samozřejmě za certifikát pro testovací doménu platit – takže jsem zagooglil a našel jsem společnost čínskou společnost WoSign, která nabízí důvěryhodný certifikát na jeden rok zcela zdarma. Stačí se zdarma zaregistrovat, ověřit doménu pomocí e-mailu nebo nahráním vygenerovaného html souboru.

Zdroj: https://www.ohling.org/blog/2015/02/wosign-free-2y-ssl-certificate.html