En este artículo aprenderemos a manejar la configuración de SSL en SAP Host Agent.
Con la nueva forma de iniciar y conectarse a la herramienta de actualización, Software Update Manager (SUM), SAP permite conectarse al servidor utilizando una conexión segura cifrada con un certificado SSL. El puerto en el que el SAP hostagent escucha con el protocolo HTTPS, por defecto es el 1129. Aprenderemos por tanto a configurar SAP Host Agent para que utilice el protocolo seguro.
Inicialmente, antes de realizar ninguna configuración adicional, después de instalar el paquete SAP Host Agent, el servidor sólo escucha en el protocolo no seguro (HTTP) y no escucha en el puerto 1129, protocolo HTTPS:
Para realizar la configuración SSL hay que utilizar el programa sapgenpse que se encuentra en los paquetes sapcryptolib y commoncryptolib. Para evitar problemas de seguridad, se recomienda descargar la última versión disponible en el SAP Support Portal: Descarga de la última vesión sapgenpse
Prerrequisitos
Hay que estar conectado con un usuario con permisos root para realizar los siguientes pasos.
Contexto
En este artículo se asume el nombre por defecto para el PSE del servidor. Para cambiar el nombre por defecto se puede usar el siguiente parámetro en el perfil de SAP Host Agent (host_profile):
ssl/server_pse = <ruta al PSE de Servidor>
Procedimiento
- Inicialmente hay que establecer la variable de entorno SECUDIR para el usuario sapadm. Si el directorio /usr/sap/hostctrl/exe/sec no existe, se crea previamente y se establecen el propietario y grupo:
orekait.com:root> mkdir -p /usr/sap/hostctrl/exe/sec orekait.com:root> chown sapadm:sapsys /usr/sap/hostctrl/exe/sec orekait.com:sapadm> setenv SECUDIR /usr/sap/hostctrl/exe/sec
- Se genera un fichero SAPSSLS.pse
orekait.com:sapadm> sapgenpse gen_pse -p SAPSSLS.pse -r <hostname>.csr "CN=<hostname>.orekait.com,O=SAP AG,C=DE"
- Con la solicitud de firma se debe obtener un certificado firmado, bien por una autoridad certificadora (CA), o auto-firmando el certificado por uno mismo. El certificado firmado obtenido, se debe importar en el fichero PSE y añadirle credenciales para el usuario sapadm:
orekait.com:sapadm> sapgenpse import_own_cert -p SAPSSLS.pse -c <hostname>.cer -r ca-chain.pem orekait.com:sapadm> sapgenpse seclogin -p SAPSSLS.pse -O sapadm
- Reiniciar el SAP Host Agent.
Resultado
Si se el certificado se ha instalado correctamente, el SAP Host Agent escucha en el puerto 1129 el servidor para la comunicación SSL:
Siguiendo estos pasos ya tendremos finalizada la configuración SSL para SAP Host Agent. Para información adicional:
Más información:
Quizas te pueda interesar
La Autenticación Básica desaparece en SAP SuccessFactors:
¿Y ahora qué?
El ecosistema SAP SuccessFactors está viviendo un cambio trascendental: SAP ha anunciado la eliminación total de la autenticación básica (usuario y contraseña) para integraciones y logins directos. ¿Qué significa esto? Que todas las organizaciones deben migrar...
¿Todavía estás en SAP ECC?
Bueno, pero ya tendrás un plan… o, ¿no?
¿Tu organización continúa trabajando sobre SAP ECC? No esperes más, es el momento de ir más allá de la pregunta “¿cuándo empiezo con la conversión?” y comenzar a definir con detalle “¿cómo y de qué manera?”. No te diré que el mantenimiento de SAP ECC termina en 2027 y...
Seguridad práctica para PYMES:
cumplimiento adaptado con ISO y ENS sin auditoría
La ciberseguridad ya no es exclusiva de las grandes corporaciones. Las PYMES también se enfrentan a riesgos crecientes y a clientes que exigen confianza en el manejo de la información. Normas como ISO 27001 y el Esquema Nacional de Seguridad (ENS) marcan el estándar...