Welche lieferantenspezifischen Änderungen sind für SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network – Zertifikatsersetzung erforderlich?

SAP Integration Suite, verwaltetes Gateway für Spend Management und Zertifikatsersetzung für SAP Business Network Client: Diese Änderung gilt für alle Kunden, die eine zertifikatsbasierte Authentifizierung verwenden oder die Verschlüsselung/Signatur ihrer Payloads verwenden (Lieferanten, die AS2 verwenden). Dies ist unabhängig davon, was sie für die Verbindung zum verwalteten Gateway für Spend Management und SAP Business Network verwenden. Wenn der Lieferant die Standardauthentifizierung verwendet, wirkt sich dies nicht auf sie aus, und das Zertifikat, das Kunden aktuell haben, funktioniert möglicherweise.

1. Wann findet der Zertifikatswechsel statt? 26. Oktober 2020 12:00 – 15:00 Uhr PST/ 21:00 Uhr -12:00 Uhr MEZ
2. Was ändert sich?
   • SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network trennt aufgrund von Sicherheitsstandards den Tenant (Client) und das Lastausgleichsmodul-Zertifikat für die Test- bzw. Produktivumgebungen.
     1. Lastausgleichsmodul-Zertifikate (diese werden vom Auftraggeber für SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP-Business-Network-Konnektivität oder SSL-Konnektivität mit dem verwalteten Gateway für Spend Management und SAP Business Network verwendet) – testacig.ariba.com und acig.ariba.com, und diese werden nicht geändert. Die am 23. Juli verwendete oder aktualisierte Version bleibt unverändert.
     2. Client-Zertifikate (Tenant-Zertifikate) (für gegenseitige Authentifizierung)/Signieren/Verschlüsseln/Entschlüsseln neuer URLs werden implementiert.
     3. Zertifikate für TEST: testacig.ariba.com werden durch aribacloudintegration-test.ariba.com und für die Produktion ersetzt: acig.ariba.com wird durch aribacloudintegration.ariba.com ersetzt
        • Hinweis: Wie kann ich die zertifikatsbasierte Authentifizierung über CIG identifizieren?
          • Navigieren Sie zum Menü Verwaltetes Gateway für Spend Management und SAP Business Network > Meine Konfigurationen > Verbindungen.
          • Der Transporttyp sollte HTTPS und der Authentifizierungstyp das Zertifikat sein.
3. Zertifikate können wie folgt heruntergeladen werden:
   • aribacloudintegration-test.ariba.com
   • aribacloudintegration.ariba.com
   • acig.ariba.com
   • testacig.ariba.com
4. Lieferant muss die URL ändern? - Nein, die URLs sind identisch und werden nicht geändert.
5. IP-Bereich muss geändert werden: Kein IP-Bereich des verwalteten Gateways für Spend Management und SAP Business Network bleibt unverändert.
6. Lieferant muss alle drei Schichten der neuen Zertifikate installieren: Ja, Lieferant muss Stamm-, Zwischen- und Hauptzertifikat manuell extrahieren
7. Häufige Fragen zur TLS-Compliance:
   • Was muss ich tun, wenn mein Integrationskanal noch TLS 1.1 oder eine der nicht unterstützten Verschlüsselungen verwendet?
     • Wir empfehlen Ihnen, sich umgehend an Ihre IT-Abteilung zu wenden. Sie sollten mit diesen Protokollen und Verschlüsselungen vertraut sein, um zu ermitteln, ob Ihre Integration konform ist.
   • Was passiert, wenn wir nicht fristgerecht sind?
     • Wenn ein Upgrade auf TLS 1.2 erforderlich ist (Ihre Systeme unterstützen wahrscheinlich bereits TLS 1.2 – mit Ihrer IT-Abteilung überprüfen), können Integrationsserver, die nur TLS 1.1 unterstützen, nicht mit SAP Integration Suite, verwaltetes Gateway für Spend Management und SAP Business Network kommunizieren. Stellen Sie außerdem sicher, dass Ihre Integration die unterstützten Verschlüsselungen implementiert hat oder die Kommunikation unterbrochen wird.
8. Alle seriellen Schlüssel für die Zertifikate lauten wie folgt:
   • acig.ariba.com - NOT 02 21 96 a6 c3 dd b0 1f 3a 25 e0 78 9a 5a 3a 4a
   • testacig.ariba.com - `04 b7 3c eb 3b ce c4 1e 03 16 d3 5f f9 80 b0 d0
   • - 02 9c 2a 7c fc 59 d9 28 5b c7 ad 09 ca 73 0d a8
   • - 0f 40 2f 80 30 00 7f da d9 43 11 69 f9 9a 55 fc
9. Stellen Sie sicher, dass Ihre Systeme, die eine Verbindung zum verwalteten Gateway für Spend Management und SAP Business Network herstellen, so konfiguriert sind, dass sie die TLS-Erweiterung (Transport Layer Security) von SNI (Server Name Indication) akzeptieren.

• TLS 1.1 ist veraltet und wurde auf TLS 1.2 aktualisiert.
• SNI ist in Ihrem ERP-System aktiviert:
  • Im Rahmen dieser Änderung gibt es den Profilparameter icm/HTTPS/client_sni_enabled, der in Ihrem ERP-System aktiviert werden sollte. Dieser Parameter ist in SAP S/4HANA oder Kernel 777 und höher standardmäßig aktiviert, aber für ECC-Kunden ist er nicht standardmäßig aktiviert. Wenn dieser Parameter nicht aktiviert ist, schlägt die Verbindung zum verwalteten Gateway für Spend Management und SAP Business Network mit "SSSLERR_SERVER_CERT_MISMATCH (-30)#Serverzertifikat stimmt nicht mit angegebenem Zielhostnamen überein" fehl. Im Folgenden finden Sie den SAP-Hinweis und den Ariba-Wissensdatenbankartikel, in denen erläutert wird, wie Sie diesen Parameter aktivieren. Außerdem haben wir eine Möglichkeit, dies über unser QA-Laborsystem für das verwaltete Gateway für Spend Management und SAP Business Network zu testen.
  • https://launchpad.support.sap.com/#/notes/2970307
  • https://launchpad.support.sap.com/#/notes/2970307
• Zertifikate müssen aktualisiert werden
• Unterkonten müssen im Cloud Connector hinzugefügt werden.
  • Weitere Details ähneln dem Käufer https://support.ariba.com/item/view/190590

Wenn für Lieferanten weiterhin Probleme beim Herstellen einer Verbindung zum verwalteten Gateway für Spend Management und SAP Business Network auftreten, können sie die folgenden Schritte sowie eine Behelfslösung ausführen: Aktualisierung 28. Oktober 2020

Für die Lieferantentransaktionen:

Eingehend >Lieferant zu Transaktionen des verwalteten Gateways für Spend Management und SAP Business Network

1. AS2-Lieferant – Verschlüsselung mit unserem öffentlichen Schlüssel, d.h. aribacloudintegration-test.ariba.com und aribacloudintegration.ariba.com
2. Keine Auswirkungen auf andere Lieferanten, wenn sie AS2 nicht verwenden

Ausgehend: Verwaltetes Gateway für Spend Management und SAP Business Network an Lieferantentransaktionen:

1. Zertifikatsbasierte Authentifizierung:
   • Für die Entschlüsselung muss der Lieferant aribacloudintegration-test.ariba.com zum Testen verwenden.
   • Für den Entschlüsselungslieferanten müsste aribacloudintegration.ariba.com für die Produktion verwendet werden.
2. AS2-Kunden:
   • Verwaltetes Gateway für Spend Management und SAP Business Network signiert mit privatem Schlüssel ( aribacloudintegration.ariba.com / aribacloudintegration-test.ariba.com ) und Verschlüsselung für Lieferanten mit öffentlichem Lieferantenschlüssel

SAP Integration Suite, verwaltetes Gateway > Verwaltetes Gateway für SAP Business Network