What are the customer specific changes required for SAP Integration Suite, managed gateway for spend management and SAP Business Network - Certificate Replacement on supplier side?

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Perguntas frequentes KB0404023

Quais são as alterações específicas do cliente necessárias para o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network - Substituição de certificado no lado do fornecedor?

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Sintoma

Quais são as alterações específicas do fornecedor necessárias para SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network - Substituição de certificado?

Resolução

Substituição de certificado de cliente do SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network: essa alteração é para todos os clientes que usam autenticação baseada em certificado ou usam criptografia/assinatura de seus payloads (fornecedores usando AS2), isso é independentemente do que eles usam para se conectar ao gateway gerenciado para despesas e Network. Se o fornecedor estiver usando a autenticação padrão, isso não afetará os mesmos e o certificado que os clientes podem ter atualmente funcionará.

Quando ocorre a modificação do certificado? 26 de outubro de 2020, das 12:00 às 15:00 PST/21:00 às 12:00 AM CET
O que está mudando?
- O SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network está separando o locatário (cliente) e o certificado da balança de carga para os ambientes de teste e de produção, respectivamente, devido a padrões de segurança.
  1. Certificados Load Balancer (usados pelo Cliente para o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e conectividade do SAP Business Network ou conectividade SSL com gateway gerenciado para Spend&Network ) – testacig.ariba.com e acig.ariba.com e não são alterados. A usada ou atualizada em 23 de julho permanecerá a mesma.
  2. Certificados de cliente (locatário) (usados para autenticação mútua)/assinatura/criptografar novos URLs estão sendo implementados.
  3. Certificados para TESTE: testacig.ariba.com será substituído por aribacloudintegration-test.ariba.com e para produção: acig.ariba.com será substituído por aribacloudintegration.ariba.com
    - Nota: como identificar a autenticação com base no certificado mediante o CIG?
      - Vá para Gateway gerenciado para despesas e Network Menu > Minhas configurações > Conexões
      - O tipo de transporte deve ser HTTPS e o tipo de autenticação deve ser Certificado.
Os certificados podem ser baixados a partir de abaixo:
O fornecedor deve modificar o URL? - Não, os URLs são os mesmos e não estão mudando.
O intervalo de IPs precisa ser alterado: nenhum intervalo de IPs do gateway gerenciado para despesas e Network permanece o mesmo.
O fornecedor deve instalar as três camadas dos novos certificados: Sim, o fornecedor deve extrair manualmente o certificado raiz, intermediário e principal
Perguntas comuns relacionadas ao TLS Complaince:
- O que devo fazer se meu canal de integração ainda estiver usando o TLS 1.1 ou uma das codificações não suportadas?
  - Sugerimos que você entre em contato com seu departamento de TI imediatamente. Eles devem estar familiarizados com esses protocolos e cifras para determinar se sua integração está em conformidade.
- O que acontece se não estivermos em conformidade até o prazo?
  - Se for necessária uma atualização para o TLS 1.2 (muito provavelmente, seus sistemas já suportam o TLS 1.2 – verifique com seu departamento de TI), os servidores de integração que suportam o TLS 1.1 só não conseguirão comunicar com o SAP Integration Suite, gateway gerenciado para gerenciamento de despesas e SAP Business Network. Além disso, certifique-se de que sua integração implementou as criptografias ou a comunicação suportadas serão interrompidas.
Todas as chaves seriais para os certificados são as seguintes:
- acig.ariba.com - ‎02 21 96 a6 c3 dd b0 1f 3a 25 e0 78 9a 5a 3a 4a
- testacig.ariba.com - ‎04 b7 3c eb 3b ce c4 1e 03 16 d3 5f f9 80 b0 d0
- ‎aribacloudintegration.ariba.com - 02 9c 2a 7c fc 59 d9 28 5b c7 ad 09 ca 73 0d a8
- ‎aribacloudintegration-test.ariba.com - 0f 40 2f 80 30 00 7f da d9 43 11 69 f9 9a 55 fc
Certifique-se de que seus sistemas que se conectam ao gateway gerenciado para despesas e Network estão configurados para aceitar a extensão TLS (Transport Layer Security) SNI (indicação do nome do servidor).

> Para o fornecedor que usa o add-on SD, é necessário atualizar os detalhes abaixo:

O TLS 1.1 está obsoleto e foi atualizado para TLS 1.2
SNI está ativado em seu ERP:
- Como parte dessa alteração, temos um parâmetro de perfil icm/HTTPS/client_sni_enabled que deve ser ativado em seu sistema ERP. Este parâmetro está habilitado por padrão no S/4 HANA ou Kernel 777 e superior, mas o cliente ECC não está habilitado por padrão. Se este parâmetro não estiver habilitado, a conexão ao Gateway gerenciado para despesas e Network falhará com “SSSLERR_SERVER_CERT_MISMATCH (-30)#O certificado do servidor não corresponde ao TargetHostname fornecido”. A seguir está a nota SAP e o KBA da Ariba que explica como ativar este parâmetro. Além disso, temos uma forma de testar isso em nosso sistema de laboratório de QA do Gateway gerenciado para despesas e Network.
- https://launchpad.support.sap.com/#/notes/2970307
- https://launchpad.support.sap.com/#/notes/2970307
Os certificados precisam ser atualizados
As subcontas precisam ser adicionadas ao Cloud Connector
- Mais detalhes serão tão semelhantes quanto o comprador https://support.ariba.com/item/view/190590

Se os fornecedores ainda estiverem enfrentando problemas para se conectar ao gateway gerenciado para despesas e Network, eles poderão seguir os passos a seguir, bem como uma alternativa: atualização em 28 de outubro de 2020

• Para conexão com a instância de TESTE do CIG: substitua testacig.ariba.com por aribacloudintegration-test.ariba.com

• Para conexão com a instância de PRODUÇÃO do CIG: substitua acig.ariba.com por aribacloudintegration.ariba.com

Observe que suas credenciais de autenticação permanecem as mesmas. Se o fornecedor estiver usando a autenticação baseada em certificado e o URL da solução alternativa precisar atualizar o certificado, um caso precisará ser criado, pois os certificados precisam ser adicionados manualmente para o URL da solução alternativa.

Informações adicionais

Para as transações do fornecedor:

Entrada >Fornecedor para transações do gateway gerenciado para despesas e Network

Fornecedor AS2 - Criptografia com nossa chave pública, ou seja, aribacloudintegration-test.ariba.com e aribacloudintegration.ariba.com
Nenhum impacto em outros fornecedores se eles não estiverem usando AS2

Saída: gateway gerenciado para despesas e Network para transações do fornecedor:

Autenticação baseada em certificado:
- Para a descriptografia, o fornecedor teria que usar aribacloudintegration-test.ariba.com para teste
- Para a descriptografia, o fornecedor teria que usar aribacloudintegration.ariba.com para produção
Clientes AS2:
- O gateway gerenciado para despesas e Network assinará com a chave privada ( aribacloudintegration.ariba.com/aribacloudintegration-test.ariba.com ) e a criptografia no fornecedor com a chave pública do fornecedor

Aplicável a

SAP Integration Suite, gateway gerenciado > Gateway gerenciado para Business Network