En este artículo aprenderemos a manejar la configuración de SSL en SAP Host Agent.

Con la nueva forma de iniciar y conectarse a la herramienta de actualización, Software Update Manager (SUM), SAP permite conectarse al servidor utilizando una conexión segura cifrada con un certificado SSL. El puerto en el que el SAP hostagent escucha con el protocolo HTTPS, por defecto es el 1129. Aprenderemos por tanto a configurar SAP Host Agent para que utilice el protocolo seguro.

Inicialmente, antes de realizar ninguna configuración adicional, después de instalar el paquete SAP Host Agent, el servidor sólo escucha en el protocolo no seguro (HTTP) y no escucha en el puerto 1129, protocolo HTTPS:

SAP Host Agent, protocolo y puerto de escucha inicial

Para realizar la configuración SSL hay que utilizar el programa sapgenpse que se encuentra en los paquetes sapcryptolib y commoncryptolib. Para evitar problemas de seguridad, se recomienda descargar la última versión disponible en el SAP Support Portal: Descarga de la última vesión sapgenpse

Prerrequisitos

Hay que estar conectado con un usuario con permisos root para realizar los siguientes pasos.

Contexto

En este artículo se asume el nombre por defecto para el PSE del servidor. Para cambiar el nombre por defecto se puede usar el siguiente parámetro en el perfil de SAP Host Agent (host_profile):

ssl/server_pse = <ruta al PSE de Servidor>

Procedimiento

  1. Inicialmente hay que establecer la variable de entorno SECUDIR para el usuario sapadm. Si el directorio /usr/sap/hostctrl/exe/sec no existe, se crea previamente y se establecen el propietario y grupo:
orekait.com:root> mkdir -p /usr/sap/hostctrl/exe/sec
orekait.com:root> chown sapadm:sapsys /usr/sap/hostctrl/exe/sec
orekait.com:sapadm> setenv SECUDIR /usr/sap/hostctrl/exe/sec
  1. Se genera un fichero SAPSSLS.pse
orekait.com:sapadm> sapgenpse gen_pse -p SAPSSLS.pse -r <hostname>.csr "CN=<hostname>.orekait.com,O=SAP AG,C=DE"
  1. Con la solicitud de firma se debe obtener un certificado firmado, bien por una autoridad certificadora (CA), o auto-firmando el certificado por uno mismo. El certificado firmado obtenido, se debe importar en el fichero PSE y añadirle credenciales para el usuario sapadm:
orekait.com:sapadm> sapgenpse import_own_cert -p SAPSSLS.pse -c <hostname>.cer -r ca-chain.pem
orekait.com:sapadm> sapgenpse seclogin -p SAPSSLS.pse -O sapadm
  1. Reiniciar el SAP Host Agent.

Resultado

Si se el certificado se ha instalado correctamente, el SAP Host Agent escucha en el puerto 1129 el servidor para la comunicación SSL:

SAP Host Agent y el protocolo SSL

Siguiendo estos pasos ya tendremos finalizada la configuración SSL para SAP Host Agent. Para información adicional:

SSL Configuration for the SAP Host Agent