Bij MCX is het beheer van certificaten grotendeels geautomatiseerd. Dat is geen overbodige luxe. De geldigheidsduur van certificaten voor het beveiligen van URL’s wordt namelijk steeds korter: momenteel zes maanden, straks drie maanden (in 2027) en uiteindelijk zelfs 47 dagen in 2029. Zonder automatisering zou het vernieuwen daarvan – vermenigvuldigd met alle klant-URL’s – uitgroeien tot een vrijwel fulltime operatie.
We ondersteunen verschillende scenario’s. Zo kan een klant MCX machtigen om certificaten aan te vragen voor specifieke URL’s, gebruikmaken van door MCX beheerde URL’s, zelf certificaten aanleveren, of een Certificate Signing Request (CSR) door ons laten genereren en dit ondertekend retourneren.
Zodra een certificaat via een van deze routes beschikbaar is, plaatsen we het op een vooraf bepaalde locatie op de server van de klant. Vanaf daar neemt de automatisering het over. Afhankelijk van de situatie zijn er tot drie updates nodig: een certificaatbundel voor de front-endbeveiliging op de load balancer, een update van de keystore binnen het WebLogic-domein en een aanpassing van de certificaatgegevens in de PeopleSoft-database.
Het script start met een analyse van het aangeleverde certificaat. Daarbij controleren we of alle benodigde onderdelen aanwezig zijn: de private key, het leaf-certificaat en eventuele intermediate- en rootcertificaten. Vervolgens worden deze componenten gescheiden: de sleutel voor de beveiligde communicatie, het URL-specifieke leaf-certificaat en de certificaten die samen de trust chain vormen richting de Certificate Authority.
Op basis hiervan stelt het script het juiste certificaatbestand samen voor de load balancer. Tegelijk genereert het de benodigde commando’s om het certificaat te implementeren en de bijbehorende processen opnieuw te starten.
Daarna richt het script zich op WebLogic. Het identificeert het juiste domein, haalt de bestaande keystore op en maakt eerst een back-up. Vervolgens worden de aanwezige certificaten gevalideerd en wordt de keystore opnieuw opgebouwd met de nieuwe sleutel en het leaf-certificaat. Hierbij houden we rekening met meerdere aliassen: geldige certificaten worden behouden, verlopen exemplaren opgeschoond. Tot slot geeft het script duidelijk aan welke stappen nodig zijn om het domein opnieuw te starten, zodat de nieuwe keystore actief wordt.
Als de certificaatketen verandert – bijvoorbeeld door een andere configuratie of een nieuwe Certificate Authority – moeten ook de root- en intermediate-certificaten in PeopleSoft worden bijgewerkt. PeopleSoft gebruikt deze immers om leaf-certificaten te valideren. In plaats van dit handmatig via de applicatie te doen, automatiseren we dit proces met PeopleTools Automated Configuration Management. Het script genereert zowel het certificaatbestand als het bijbehorende configuratiebestand en levert de benodigde uitvoeringscommando’s.
Voor ad-hocscenario’s is het script flexibel inzetbaar. Het kan een certificaatbestand of een URL als input accepteren, het certificaat indien nodig ophalen en dit direct in de juiste keystore van de webserver of het domein plaatsen.
Daarnaast kunnen we automatisch de meeste URL’s identificeren die binnen een PeopleSoft-omgeving gebruikt worden. Deze lijst kan optioneel worden uitgebreid via een invoerbestand. Voor iedere URL bepaalt het script de vervaldatum – inclusief waarschuwingen wanneer er minder dan 30 dagen resteren – en signaleert het wijzigingen in het certificaat of de trust chain ten opzichte van eerdere controles. Ook verifiëren we of de WebLogic-keystore de betreffende URL nog correct kan valideren.
Met deze aanpak houden we grip op een steeds dynamischer certificaatlandschap. We signaleren afwijkingen vroeg, voorkomen verrassingen en zorgen dat de omgeving veilig en beschikbaar blijft, zonder dat het beheer een dagtaak wordt.
