Quali sono le modifiche specifiche del fornitore richieste per SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network - Sostituzione certificato?

SAP Integration Suite, gateway gestito per gestione della spesa e sostituzione del certificato client SAP Business Network: questa modifica riguarda tutti i clienti che utilizzano l'autenticazione basata su certificato o utilizzano la crittografia/firma dei propri payload (fornitori che utilizzano AS2), indipendentemente da qualsiasi cosa utilizzino per connettersi al gateway gestito per gestione della spesa e SAP Business Network. Se il fornitore utilizza l'autenticazione standard, l'operazione non avrà alcun impatto e il certificato che i clienti potrebbero avere attualmente funzionerà.

1. Quando avviene la modifica del certificato? 26 ottobre 2020 12:00 – 15:00 PST/ 9:00 PM -12:00 AM CET
2. Cosa sta cambiando?
   • SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network sta separando il tenant (client) e il certificato del bilanciatore del carico rispettivamente per gli ambienti di verifica e produzione a causa degli standard di sicurezza.
     1. Certificati Load Balancer (utilizzati per il cliente in SAP Integration Suite, gateway gestito per gestione della spesa e connettività SAP Business Network o connettività SSL con gateway gestito per gestione della spesa e SAP Business Network) – testacig.ariba.com e acig.ariba.com e questi non cambiano. Quello utilizzato o aggiornato il 23 luglio resterà lo stesso.
     2. Vengono implementati i certificati client (tenant) (utilizzati per l'autenticazione reciproca) / Firma/Crittografa/Crittografa nuovi URL.
     3. I certificati per TEST: testacig.ariba.com saranno sostituiti con aribacloudintegration-test.ariba.com e per la produzione: acig.ariba.com saranno sostituiti con aribacloudintegration.ariba.com
        • Nota: Come identificare l'autenticazione basata su certificato tramite CIG?
          • Passare al gateway gestito per gestione della spesa e SAP Business Network Menu > Configurazioni personali > Connessioni
          • Il tipo di trasporto deve essere HTTPS e il tipo di autenticazione deve essere certificato.
3. I certificati possono essere scaricati dal seguente:
   • aribacloudintegration-test.ariba.com
   • aribacloudintegration.ariba.com
   • acig.ariba.com
   • testacig.ariba.com
4. Il fornitore deve modificare l'URL? - No, gli URL sono gli stessi e non cambiano.
5. È necessario modificare l'intervallo IP: nessun intervallo IP del gateway gestito per gestione della spesa e SAP Business Network rimane invariato.
6. Il fornitore deve installare tutti e tre i livelli dei nuovi certificati: Sì, il fornitore deve estrarre manualmente il certificato radice, intermedio e principale
7. Domande comuni relative alla denuncia TLS:
   • Cosa devo fare se il mio canale di integrazione utilizza ancora TLS 1.1 o uno dei codici crittografici non supportati?
     • Si consiglia di contattare immediatamente il reparto IT. Devono avere familiarità con questi protocolli e crittografie per determinare se l'integrazione è conforme.
   • Cosa succede se non siamo conformi entro la scadenza?
     • Se è richiesto un aggiornamento a TLS 1.2 (molto probabilmente i sistemi supportano già TLS 1.2 - verificare con il reparto IT), i server di integrazione che supportano solo TLS 1.1 non saranno in grado di comunicare con SAP Integration Suite, gateway gestito per gestione della spesa e SAP Business Network. Inoltre, assicurarsi che l'integrazione abbia implementato le crittografie supportate o che la comunicazione venga interrotta.
8. Tutte le chiavi seriali per i certificati sono le seguenti:
   • acig.ariba.com -- 02 21 96 a6 c3 dd b0 1f 3a 25 e0 78 9a 5a 3a 4a
   • testacig.ariba.com ---04 b7 3c eb 3b ce c4 1e 03 16 d3 5f f9 80 b0 d0
   • • aribacloudintegration.ariba.com - 02 9c 2a 7c fc 59 d9 28 5b c7 ad 09 ca 73 0d a8
   • • aribacloudintegration-test.ariba.com - 0f 40 2f 80 30 00 7f da d9 43 11 69 f9 9a 55 fc
9. Assicurarsi che i sistemi che si connettono al gateway gestito per gestione della spesa e SAP Business Network siano configurati in modo da accettare l'estensione TLS (Transport Layer Security) per SNI (Server Name Indication).

• TLS 1.1 è obsoleto e aggiornato a TLS 1.2
• SNI è abilitato in ERP:
  • Nell'ambito di questa modifica, è stato abilitato un parametro di profilo icm/HTTPS/client_sni_enabled nel sistema ERP. Questo parametro è abilitato per impostazione predefinita in S/4 HANA o Kernel 777 e versioni successive, ma per il cliente ECC non è abilitato per impostazione predefinita. Se questo parametro non è abilitato, la connessione al gateway gestito per gestione della spesa e SAP Business Network non riuscirà con "SSSLERR_SERVER_CERT_MISMATCH (-30)#Il certificato server non corrisponde al TargetHostname fornito". Di seguito sono riportati la nota SAP e il KBA Ariba che spiegano come attivare questo parametro. Inoltre, abbiamo un modo per testarlo dal nostro sistema di laboratorio QA del gateway gestito per gestione della spesa e SAP Business Network.
  • https://launchpad.support.sap.com/#/notes/2970307
  • https://launchpad.support.sap.com/#/notes/2970307
• I certificati devono essere aggiornati
• È necessario aggiungere subaccount nel connettore cloud
  • Maggiori dettagli saranno simili a quelli dell'acquirente https://support.ariba.com/item/view/190590

Se i fornitori riscontrano ancora problemi di connessione al gateway gestito per gestione della spesa e SAP Business Network, è possibile attenersi alla procedura seguente e risolvere il problema: Aggiornamento 28 ottobre 2020

Per le transazioni fornitore:

In entrata > Fornitore nel gateway gestito per transazioni di gestione della spesa e SAP Business Network

1. Fornitore AS2 - Crittografia con la nostra chiave pubblica, ad esempio aribacloudintegration-test.ariba.com e aribacloudintegration.ariba.com
2. Nessun impatto su altri fornitori che non utilizzano AS2

In uscita: gateway gestito per gestione della spesa e SAP Business Network per transazioni fornitore:

1. Autenticazione basata sul certificato:
   • Per il fornitore di decrittografia dovrebbe utilizzare aribacloudintegration-test.ariba.com per la prova
   • Per il fornitore di decrittografia dovrebbe utilizzare aribacloudintegration.ariba.com per la produzione
2. Clienti AS2:
   • Il gateway gestito per gestione della spesa e SAP Business Network firmerà la firma con chiave privata ( aribacloudintegration.ariba.com / aribacloudintegration-test.ariba.com ) e la crittografia per il fornitore con la chiave pubblica del fornitore

SAP Integration Suite, gateway gestito > Gateway gestito per Business Network