Installation öffentlicher Zertifikate für Integrationsszenarios

Hinweis: Dies deckt nicht alle Integrationsszenarios ab und enthält einige Beispiele.  Kunden sollten ihre aktuellen Konfigurationen auf Integrationen mit ihrer IT-Abteilung überprüfen, um den richtigen Prozess zum Aktualisieren der öffentlichen Zertifikate zu ermitteln.

Welcher Zertifikatstyp soll für Integrationen (ECC oder RSA) verwendet werden?

Der Zertifikatstyp hängt vom Algorithmus ab, der in der Landschaft des Kunden unterstützt wird und vom Kunden ausgewählt wurde.

Wir verwenden derzeit kein Ariba-Zertifikat für Webservices.  Sollen wir jetzt ein neues Zertifikat hinzufügen?

Einige Integrationen mit Ariba verwenden möglicherweise Zertifikats-Pinning, was bedeutet, dass die Systemschnittstelle, die eine Verbindung zu den Ariba-Cloud-Systemen herstellt, nur einem bestimmten Webserver-Zertifikat vertrauen und nicht nur einem gültigen Webserver-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle signiert ist. Beachten Sie, dass Sie unser neues Zertifikat importieren müssen, wenn Sie das Zertifikats-Pinning verwenden.

Welche Änderungen sind für eingehende Web-Services erforderlich?

Kunden müssen dem neuen Ariba-Zertifikat vertrauen, um die HTTPS-Verbindung herzustellen. Der Kunde sollte das neue Ariba-Zertifikat zu seinem Truststore (Keystore) hinzufügen. Allgemeine Anweisungen können nicht bereitgestellt werden, da dies von der Anwendung abhängt, die der Kunde bei seiner Integration mit den SAP-Ariba-Produkten verwendet.

Welche Änderungen sind für ausgehende Web-Services erforderlich?

Kunden sollten die Authentifizierungseinstellungen in ihren Anwendungen, die in SAP Ariba integriert sind, ändern, indem sie den vorhandenen öffentlichen Ariba-Schlüssel durch den neuen ersetzen. Allgemeine Anweisungen können nicht bereitgestellt werden, da die genauen Schritte von der Anwendung abhängen, die der Kunde für die Integration mit SAP Ariba verwendet.

Wie kann der öffentliche Schlüssel von Ariba abgerufen werden?

So rufen Sie den öffentlichen Schlüssel ab:

1. Zertifikat öffnen
2. Zur Registerkarte "Details" navigieren
3. Öffentlichen Schlüssel auswählen

Welche Änderungen sind für das Standalone Integration Toolkit (ITK) – keine PI erforderlich?

Weitere Informationen finden Sie in diesem Wissensartikel.

Welche Änderungen sind für das Standalone Integration Toolkit (ITK) auf PI erforderlich?

Kunden sollten das neue Zertifikat zum PI KeyStore hinzufügen.

View im KeyStore von SAP NetWeaver PI anlegen    

1. Melden Sie sich am SAP NetWeaver PI Administrator an.  
2. Klicken Sie auf die Registerkarte Konfiguration und dann auf Zertifikate und Schlüssel.  
3. Klicken Sie auf der Registerkarte Keystore auf Ansicht hinzufügen.  

4. Geben Sie einen Namen und eine Beschreibung für die Sicht ein, und klicken Sie auf Anlegen.   

Server- und Client-Zertifikate in eine Ansichtsprozedur importieren    

1. Klicken Sie auf der Registerkarte Einträge anzeigen auf Eintrag importieren.  

2. Klicken Sie auf das Pulldown-Menü Eintragsart auswählen, und wählen Sie X.509-Zertifikat aus.  
3. Geben Sie den Pfad zum Speicherort des Serverzertifikats ein.  

4. Klicken Sie auf Importieren.  

Hinweis: Um das Client-Zertifikat zu importieren, wiederholen Sie die Schritte 1 bis 4 oben  

1. Um das Schlüsselpaar zu importieren, klicken Sie auf der Registerkarte Einträge anzeigen erneut auf Eintrag importieren.  
2. Klicken Sie auf die Pulldown-Option Select entry type, und wählen Sie PKCS#8 Key Pair.  
3. Geben Sie den Pfad zum Speicherort der Schlüsseldatei ein.  
4. Geben Sie den Pfad zum Speicherort des Client-Zertifikats ein.  

5. Klicken Sie auf Hinzufügen.  

6. Klicken Sie auf Importieren.  

Ergebnisse:

Die folgende Grafik zeigt die Details der in die Sicht ITK_Certificates importierten Zertifikate.  

Hinweis  

In der obigen Grafik werden die Server- und Client-Zertifikate in dieselbe Sicht importiert. Sie können jedoch unterschiedliche Ansichten für Server- und Client-Zertifikate haben.  

Berechtigungen für den Keystore erteilen    

1. Wählen Sie auf der Registerkarte Keystore die Ansicht aus, für die Sie Berechtigungen zuordnen möchten.  
2. Klicken Sie auf den Link Sicherheit neben dem Wort Inhalt.  

3. Klicken Sie auf die Registerkarte Berechtigungen pro Domäne.   

4. Wählen Sie ariba.com/ariba_JobBean aus, und klicken Sie auf Ändern.  
5. Klicken Sie auf Neue Berechtigung erteilen.  

6. Aktivieren Sie das Kontrollkästchen Alle Aktionen.  
7. Wählen Sie im Feld Keystore-Sicht den View-Namen aus, und klicken Sie auf OK.  

Welche Änderungen sind für die ERP-Integration über direkte oder vermittelte Konnektivität (Stammdaten/SIPM) erforderlich?

Informationen zum Hinzufügen eines neuen Zertifikats in PI finden Sie im Abschnitt "Creating a View and Importing Certificates into SAP NetWeaver Keystore" in diesem Dokument.

Für die direkte Verbindung lauten die Schritte wie folgt:

1. Neues Zertifikat herunterladen
2. In DER-kodierte Binärdatei konvertieren
3. Bei SAP anmelden
4. Rufen Sie die Transaktion STRUST auf.
5. Doppelklicken Sie auf "SSL-System-Client SSL-Client".
6. Klicken Sie auf die Schaltfläche Zertifikate importieren  
7. Wählen Sie das Zertifikat, das Sie aus Schritt 1 exportiert haben, und klicken Sie auf das Symbol Prüfen. Klicken Sie bei der Sicherheitsfrage auf Zulassen.
8. Wählen Sie In Zertifikatsliste aufnehmen.
   • Sie sollten unten eine Meldung über den erfolgreichen Import erhalten und auch das Zertifikat in der Zertifikatsliste sehen. 
   • Klicken Sie oben auf das Symbol Sichern, um die Zertifikatsänderungen zu sichern. Sie sollten unten eine Meldung über das Sichern erhalten