Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contents
RESUMEN ......................................................................................................................................................... 2
Paso 1. Creación de instancia runtime de CI (BTP Cockpit) ..............................................................................2
Paso 2. Creación de certificado de cliente (BTP Cockpit) ..................................................................................5
Paso 3. Descargar certificado cliente y llave privada (BPT Cockpit) ................................................................7
Paso 4. Descargar certificados de servidor o de Load Balancer (Cloud Integration) ...................................11
Paso 5. Prueba de conexión desde Postman (Postman, opcional) ................................................................13
Paso 6. Generación de archivos PFX y PSE (Máquina local)..........................................................................16
Paso 7. Creación de ABAP Proxy Ping (ECP) ..................................................................................................18
Paso 8. Creación SSL Client Identity BTP_CI (ECP) ........................................................................................22
Paso 9. Importar archivo PSE con certificado de cliente (ECP) .....................................................................23
Paso 10. Importar certificados de servidor de Cloud Integration (ECP) ........................................................25
Paso 11. Configurar un Service Consumer desde SOAMANAGER (ECP) ......................................................26
Paso 12. Probar ABAP Proxy (ECP) ...................................................................................................................30
REFERENCIAS ............................................................................................................................................... 31
Jun 2023
Rafael Moncayo i834039
RESUMEN
Esta memoria técnica contiene los pasos de autenticación con certificado de cliente de SAP EC Payroll a SAP
Cloud Integration.
NOTA: Se recomienda crear credenciales por cada macro-proceso o equipos de desarrollo. De esta manera
durante la operación es más sencillo eliminar y renovar certificados sin afectar a todas las integraciones.
Navegar a la subcuenta y en el panel izquierdo seleccionar Instances and Subscriptions. En la sección de
Intances, abrir la instancia flowclient creada en el paso 1.
En la sección Service Keys dar clic en Create para crear nuevas credenciales de cliente.
Si observa que el json contiene en 3 ocasiones el texto -----BEGIN CERTIFICATE----- es porque contiene la
cadena completa de los certificados, es decir, 3 certificados.
Ahora hay que reemplazar los secuencia de caracteres “\n” por saltos de línea. En mi caso, por estar utilizando
gvim, utilizo el comando :1,$s/\\n/\r/g
Guardamos el archivo con extensión .crt: msg_clientcert_sf_2023.crt
En la pestaña TLS colocar el hostname de runtime de los flujos de integración. En este caso mex-btppayrollpre-
zw7x1jal.it-cpi013-rt.cfapps.us21.hana.ondemand.com.
El archivo zip contiene los 3 certificados de servidor.
Genere un nuevo request tipo POST a la URL al endpoint del flujo de pruebas: https://mex-btppayrollpre-
zw7x1jal.it-cpi013-rt.cfapps.us21.hana.ondemand.com/cxf/santander/btp/ping
Inhiba la cabecera por defecto Content-Type y coloque explícitamente la cabecera Content-Type: text/xml
Note que no es necesario colocar credenciales porque tomará el certificado de cliente de la configuración
general.
Al ejecutar la prueba debería obtener un resultado similar con estatus http 200.
Paso 6. Generación de archivos PFX y PSE (Máquina local)
[Se ejecuta cada que se quiera importar o renovar un certificado de cliente X.509 en ECP]
El archivo PFX va a contener tanto el certificado X.509 como la llave privada. En S/4HANA este formato se
puede importar directamente en la transacción STRUST, pero en ECP nos servirá de paso intermedio para
generar el archivo PSE que es el que utiliza SAP.
Para convertir el archivo PFX a formato PSE, es necesario descargar SAP CRYPTO LIB. Citando la nota
2148457:
Obtain a Windows version of SAPCRYPTOLIB and unpack it on your Windows PC (where you run
SAPgui). You need "sapgenpse.exe" and "sapcrypto.dll"
The files can be downloaded at following location:
https://support.sap.com/en/my-support/software-downloads.html -> Installations & Upgrades -> By
Category -> SAP Cryptographic Software -> SAPCRYPTOLIB -> COMMONCRYPTOLIB 8
En la transacción SPROXY crear un nuevo Service Consumer a partir de un WSDL provisto. En este caso se
utilizó este archivo.
Paso 8. Creación SSL Client Identity BTP_CI (ECP)
[Se ejecuta una sola vez por ambiente]
Para una mejor gestión de los certificados de servidor y el certificado de cliente, se crea dentro de la transacción
STRUST un nuevo SSL Client Identity.
Regresar a la pantalla principal y cambiar el modo a editar.
Con el certificado seleccionado, se van a importar los 3 certificados de servidor que se descargaron en el paso
4. Para ello de clic en el botón Import y seleccione el archivo “DigiCert Global Root G2.cer”. Después añada el
certificado en la misma entidad.
Hay que repetir los pasos para los archivos “DigiCert Global CA G2.cer” y
“_.it_cpi013_rt.cfapps.us21.hana.ondemand.com.cer”.
Una vez cargados los 3 certificados del load balancer de Cloud Integration, hay que guardar.
Ya estamos cerca, ahora debemos configurar un puerto en SOAMANAGER para que el servicio que nos
interese –en nuestro caso el servicio Ping– se conecte a Cloud Integration utilizando los certificados que se
configuraron en la transacción STRUST.
Primero entramos a la transacción SOAMANAGER y seleccionamos la opción Web Service Configuration.
El servicio Ping se puede encontrar en la transacción SPROXY navegando en el panel izquierdo Source >
External > SWCs > HOME > Namespaces > http://santander.com/hcm/nomina/2023/ping > Objects > Ping
En la ventana de Test Service Consumer, se puede dejar el puerto lógico en blanco porque al crear el puerto en
el paso 11, se definió como puerto por defecto.
Se puede ejecutar el proxy con el XML propuesto.
Y el resultado debe ser algo parecido a lo siguiente. Al ser síncrona la interfaz, no fue necesario la opción
COMMIT TRANSACTION.
REFERENCIAS
1. How to configure HTTPS Inbound Connection in Cloud Integration Cloud Foundry using Client
Certificate Authentication Step-by-Step
https://blogs.sap.com/2021/06/21/how-to-configure-https-inbound-connection-in-cloud-integration-cloud-
foundry-using-client-certificate-authentication-step-by-step/
Note: Navigate in order to get PDF document
2. Step-by-step Guide to Set Up Inbound Client Certificate Authentication, Cloud Foundry Environment
https://blogs.sap.com/2022/05/29/step-by-step-guide-to-set-up-inbound-client-certificate-authentication-
cloud-foundry-environment/
3. SAP Note 2148457 - How to convert the keypair of a PKCS#12 / PFX container into a PSE file
https://launchpad.support.sap.com/#/notes/2148457