Resumo:
Para alguns cenários específicos, a documentação oficial do produto solicita explicitamente a criação de um PSE usando a ferramenta de linha de comando 'sapgenpse'. Este não é um procedimento comum, já que a maioria dos sistemas SAP já fornecem um programa/transação/assistente dedicado para criar e manter arquivos PSE (por exemplo, a transação STRUST para NetWeaver ABAP), portanto,
use este procedimento apenas
quando for informado explicitamente.
Requisitos:
-
CommonCryptoLib >= 8.5.x ** A última versão da biblioteca pode ser baixada no Centro de Downloads de Software da SAP.
Passo a passo:
-
Vamos revisar a documentação do sapgenpse a partir da linha de comando. Você pode executar '
sapgenpse -h
' para obter a documentação geral do sapgenpse. Como pode ser visto abaixo, todas as funções disponíveis e uma breve descrição serão exibidas:
-
'gen_pse'
é a função que gera um novo arquivo PSE. Vamos primeiro verificar sua documentação para confirmar como usá-la corretamente:
Como podemos ver, a documentação é detalhada e contém vários exemplos de como executar o comando.
-
Gerar um arquivo PSE será diferente para cada cenário, portanto,
observe
que o exemplo fornecido abaixo
pode não ser adequado
para seu cenário específico:
$
sapgenpse gen_pse -p <Nome do arquivo PSE> -a <tipo de chave, força e algoritmo de assinatura> -x <senha do PSE> "DN"
Opcional:
Para alguns cenários, será necessário assinar o certificado PSE com uma CA válida, os passos abaixo detalharão como gerar a solicitação de certificado e depois importar a resposta da CA usando o sapgenpse:
-
Gerar a solicitação de certificado usando o sapgenpse:
$
sapgenpse gen_pse -p <Nome do arquivo PSE> -onlyreq -x <senha do PSE>
A solicitação de certificado pode ser copiada da saída e enviada para a CA para assinatura.
-
'import_own_cert' é a função do sapgenpse que deve ser usada para importar a resposta da CA no PSE.
a. Vamos primeiro verificar como a função deve ser usada:
$ sapgenpse import_own_cert -h
b. Ao importar a resposta do certificado assinado pela CA no PSE, certifique-se de que toda a cadeia de certificados também seja fornecida usando a opção '-r':
$ sapgenpse import_own_cert -p <arquivo PSE> -x <senha do PSE> -c <arquivo de resposta da CA> -r <arquivo de certificado adicional 1 (pode ser usado várias vezes)>
Exportar o certificado PSE pode ser necessário para alguns cenários, o comando a seguir exportará o certificado.
-
Deve-se usar a função 'export_own_cert'. Vamos verificar sua documentação:
$ sapgenpse export_own_cert -h
-
Conforme descrito na documentação da função, existem várias opções para exportar o certificado PSE e, dependendo dos requisitos específicos, você deve escolher a opção correta, que provavelmente está descrita na documentação.