SAP-Zertifikate: Die Grenzen des Standards als Chance

Das folgende Worst-Case-Szenario ist durchaus real: Es wurde verpasst, ein oder mehrere digitale Zertifikate für die interne und externe Kommunikation von SAP-Systemen beziehungsweise Komponenten davon zu erneuern. Was passiert? Die Nutzung beispielsweise von SAP Financials, von SAP Human Resource Management oder anderen SAP-Anwendungen steht nach dem Ablaufdatum der notwendigen Zertifikate auf dem Spiel.

Sofern keine Sicherheitsvorkehrungen getroffen wurden, gibt es auch keine Unterstützung von Geschäftsprozessen durch SAP mehr. Das wäre dann sicherlich der Super-GAU. Das Handling oder das Managen von ­digitalen Zertifikaten wird von SAP seit Jahren im Kern gut unterstützt. Bis hin zur ­Erzeugung von Zertifizierungsanforderungen (Erzeugen von sogenannten CSR-Codes, Certificate Signing Request) oder dem Zertifikate-Import mittels Abap/Strust oder Cloud Connector beziehungsweise anderen Programmierverfahren.

Dennoch gilt: Abgelaufene Zertifikate müssen sowohl im Überblick als auch im Detail erkannt und quasi manuell erzeugt werden. Zuständig dafür sind in Unternehmen in aller Regel SAP-Basis- respektive Infrastruktur-Experten, mitunter auch in Verbindung mit Security-Spezialisten oder Compliance-Teams. Hier und da übernehmen auch externe Dienstleister das „Certificate Management“.

Eine Herausforderung dabei: Meistens handelt es sich in der Praxis nicht nur um ein Zertifikat, sondern um sehr viele. Hier und da um mehrere Hundert. Und was schwer wiegt ist vor allem die Tatsache, dass Zertifikatserneuerungen in immer kürzeren Zeitabständen zu erfolgen haben. Mit entsprechendem Aufwand oder Ressourceneinsatz.

Hinzu kommt: Umfasste die maximale Gültigkeitsdauer ab dem ersten September 2020 noch 398 Tage, so wird die Gültigkeit eines digitalen Zertifikats ab dem 15. März 2029 nur noch 47 Tage betragen. Immer öfter sind also Zertifikatserneuerungen erforderlich.

Übrigens legen diese Gültigkeiten sogenannte Certificate Authorities (CA) fest, eine Kooperation von Webbrowser-­Herstellern und Zertifizierungsstellen. Sie verabschieden als Organisation gemeinsame Richtlinien für die sogenannte X.509-Public-Key-Infrastruktur.

Vorteile durch Automatisierung

Wiederkehrende oder manuelle Tätigkeiten oder Arbeiten zu automatisieren, ist das Ziel von Automatisierungssoftware. Wobei das Motto lautet: „Automatisieren, was sich automatisieren lässt.“ Das gilt auch für das Themenfeld „Cer­tificate Management“ oder Zertifikatsmanagement. Der Markt für Lösungen der Provenienz automatisiertes Certificate Management ist recht übersichtlich. Derlei Speziallösungen haben sich dennoch über die Zeit hinweg dynamisch entwickelt. Nicht zuletzt deshalb, weil es für diese Art von Must-do eine große Nachfrage gibt.

Der Hintergrund ist simpel und einfach zugleich. Teams in Unternehmen, denen das Thema Zertifikatsmanagement zugeordnet ist, haben es mit sehr vielen Aspekten beim SAP-Systembetrieb zu tun. Ferner sind die Ressourcen knapp. Und das bei steigenden Aufgaben. Nach wie vor stellt die IT aus Arbeitsmarktsicht einen Engpassbereich dar.

Eine smarte Automatisierungssoftware spart unterm Strich Zeit und Geld. Gleichzeitig finden Aufgaben/Tätigkeiten in immer gleichbleibend hoher Qualität statt. Mit anderen Worten: Die Sicherheit und die Produktivität steigen. Über die verschiedenen SAP-Basis-Aufgabenfelder hinweg. Sei es bei der Erstellung einer SAP-System­kopie, bei Updates, beim Starten und Stoppen von SAP-Systemen, beim SAP-SEC-Notes-­Management oder sei es eben beim Certificate Management.

Certificate Management Software

Wie muss oder sollte im Groben eine Certificate Management Software auf der Basis von Best-Practise-Prozessen aufgebaut sein? Was sollte sie leisten oder mitbringen?

Bedeutsam selbstverständlich: Sie sollte auf die speziellen SAP-Belange respektive -Besonderheiten von vornherein ausgerichtet sein. Das heißt zuallererst, dass alle Zertifikate, die mit SAP in Verbindung stehen beziehungsweise von Relevanz sind, übersichtlich mit einer ein­fachen Ease-of-Use-Benutzeroberfläche (UI) lückenlos und gesamtheitlich auf der Grundlage von Reporting-Daten dargestellt werden. Doch nicht nur das.

Auch das Erzeugen von Certificate-Jobs aus dem Reporting sollte möglich sein; zudem, welche Jobs wann durchgeführt werden. Stichwort Scheduling. Zugleich ist es natürlich zwingend erforderlich, dass sowohl der Zeitpunkt von erneuerten Zertifikaten als auch Zertifikate, die zu erneuern sind, angezeigt werden. Beispielsweise hinter diesem oder jenem Zertifikat gekennzeichnet mit einem grünen Haken oder mit einem roten X.

Certificate Management als App

Eine Certificate Management App sollte auch diverse Schritte oder Phasen auf der Grundlage von Best-Practise-Prozessen ­automatisiert abarbeiten. So etwa die automatische Generierung von Certificate ­Signing Requests (CSRs). Gleichfalls das Prüfen und Einspielen der Zertifikate. Oder: die automatische Verkettung von Primär-, Intermediate- und Stammzertifikaten.

Obendrein: das automatisierte Löschen von abgelaufenen Zertifikaten, samt intelligentem PSE-Backup sowie die dynamische Ermittlung der PSEs. Trotz Automatisierung sollte es aber Mechanismen geben, flexibel in die Prozesse manuell einzugreifen oder Prozesse/Abläufe zu korrigieren, falls erforderlich.
Von der Konzeption her sollte eine Certificate Management-Lösung als App zwei Phasen berücksichtigen. Zum einen Checklauf, zum anderen einen Echtlauf.

So um­gesetzt beispielsweise in der Certificate Management App der SAP-Automatisierungs-Suite Epos von Empirius. Die Daten aller Zertifikate liefert wie bereits erwähnt die Epos Reporting App/Collector All-in App. Beim Checklauf stehen folgende Prozesse im Mittelpunkt: Auswahl der Zertifikate, Abgleich mit der Systemliste, Erstellen der Certificate Signing Requests (CSRs) sowie Check der Zertifikate. Anschließend erfolgt der Echtlauf mit Backup der Personal Secu­rity Environment (PSE); Import der Zertifi­kate mittels Strust/sapgenpse sowie gegebenenfalls das Löschen nicht mehr benötigter Zertifikate.

Zusätzlich finden beispielsweise Funktionen wie eine dynamische Ermittlung der PSEs, das Erzeugen von Certificate-Jobs aus dem Reporting, Ergebnis des Jobs „in App“, Cert/CSR-Check oder Logik-Checks in der UI Berücksichtigung. Unterstützt werden etwa SAP-Hana-, Web-Dispatcher- oder Host-­Agent-Zertifikate, ebenso von nicht in der Transaktion Stust auftauchenden PSEs, passwortgeschützte PSEs oder Java. Übrigens gibt es Epos-Anwender, die ausschließlich die Certificate Management App einsetzen. Das Gros nutzt mehrere Apps der SAP-Automatisierungs-Suite.

SAP-Automatisierungs-Suite Epos

Weiterentwicklungen sowohl bei der SAP-Automatisierungs-Suite Epos als bei den einzelnen Apps finden bei Empirius kontinuierlich statt. Bei den Neuerungen der aktuellen Version 25.6 standen unter anderem Verbesserungen bei Übersichtlichkeit, Konsistenz und Komfort in der Automatisierung im Vordergrund.

Neu in der aktuellen Version 25.6 sind auch zwei weitere Apps: einerseits „SAP Transports“ für beispielsweise einfache Einbindung/Einrichtung neuer Drucker in SAP; andererseits die „Java Update App“ zur Unterstützung von automatisierten Java-­Updates. Damit umfasst die SAP-­Automatisierungs-Suite mittlerweile insgesamt über 20 Apps für die SAP-­Basis-Automatisierung, einsetzbar als „Central Point of Management“-System für die SAP-Basis und SAP-Infrastruktur-Teams.