What are the customer specific changes required for SAP Integration Suite, managed gateway for spend management and SAP Business Network - Certificate Replacement on supplier side?

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Вопросы и ответы KB0404023

Какие специфичные для клиента изменения требуются для SAP Integration Suite, управляемого шлюза для управления расходами и SAP Business Network - замена сертификата на стороне поставщика?

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Симптом

Какие специфичные для поставщика изменения требуются для SAP Integration Suite, управляемого шлюза для управления расходами и SAP Business Network - замена сертификата?

Расширение

SAP Integration Suite, управляемый шлюз для управления расходами и замена сертификата клиента SAP Business Network: это изменение предназначено для всех клиентов, использующих аутентификацию на основе сертификатов или использующих шифрование/подпись полезной нагрузки (поставщиков с помощью AS2). Это независимо от того, используется ли оно для подключения к управляемому шлюзу для управления расходами и SAP Business Network. Если поставщик использует базовую аутентификацию, это не повлияет на них, и сертификаты, которые могут быть у клиентов в настоящее время, будут работать.

Когда происходит изменение сертификата? 26 октября 2020 г. с 12:00 до 15:00 PST/ 21:00 – 12:00 CET
Что меняется?
- В соответствии со стандартами безопасности управляемый шлюз SAP Integration Suite для управления расходами и SAP Business Network разделяет сертификат арендатора (клиента) и сертификат балансировщика нагрузки для тестовой и продуктивной сред соответственно.
  1. Сертификаты балансировщика нагрузки (используются для клиента в SAP Integration Suite, управляемый шлюз для управления расходами и соединения SAP Business Network или SSL-соединение с управляемым шлюзом для Spend Management и SAP Business Network) – testacig.ariba.com и acig.ariba.com, и они не изменяются. Использованный или обновленный 23 июля останется прежним.
  2. Реализуются новые сертификаты клиента (арендатора) (используемые для взаимной аутентификации) / подписи / расшифровки шифрования.
  3. Сертификаты для TEST: testacig.ariba.com будут заменены на aribacloudintegration-test.ariba.com, а для производства: acig.ariba.com будут заменены на aribacloudintegration.ariba.com
    - Примечание. Как идентифицировать аутентификацию на основе сертификата с помощью CIG?
      - Перейти в меню управляемого шлюза для Spend Management и SAP Business Network > Мои конфигурации > Соединения
      - Тип переноса должен быть HTTPS, а тип аутентификации – Сертификат.
Сертификаты можно выгрузить следующим образом:
Поставщик должен изменить URL? - Нет, URL совпадают и не изменяются.
Необходимо изменить диапазон IP-адресов: нет диапазона IP-адресов для управляемого шлюза для управления расходами и SAP Business Network.
Поставщик должен установить все три уровня новых сертификатов: Да, Поставщик должен вручную извлечь корневой, промежуточный и основной сертификат
Часто задаваемые вопросы, связанные с TLS:
- Что делать, если мой канал интеграции все еще использует TLS 1.1 или один из неподдерживаемых шифров?
  - Рекомендуется немедленно связаться с ИТ-отделом. Они должны быть знакомы с этими протоколами и шифрами, чтобы определить, соответствует ли ваша интеграция требованиям.
- Что произойдет, если мы не соблюдаем установленные сроки?
  - Если требуется обновление до TLS 1.2 (скорее всего, ваши системы уже поддерживают TLS 1.2 – проверьте с вашим ИТ-отделом), серверы интеграции, поддерживающие только TLS 1.1, не смогут взаимодействовать с SAP Integration Suite, управляемым шлюзом для управления расходами и SAP Business Network. Кроме того, убедитесь, что в интеграции реализованы поддерживаемые шифры или коммуникация будет нарушена.
Ниже перечислены все серийные ключи сертификатов:
- acig.ariba.com - М2 21 96 a6 c3 dd b0 1f 3a 25 e0 78 9a 5a 3a 4a
- testacig.ariba.com - МБ-04 b7 3c eb 3b ce c4 1e 03 16 d3 5f f9 80 b0 d0
- +aribacloudintegration.ariba.com - 02 9c 2a 7c fc 59 d9 28 5b c7 ad 09 ca 73 0d a8
- varibacloudintegration-test.ariba.com - 0f 40 2f 80 30 00 7f da d9 43 11 69 f9 9a 55 fc
Убедитесь, что ваши системы, подключающиеся к управляемому шлюзу для Spend Management и SAP Business Network, настроены на использование расширения SNI (указание имени сервера) TLS (Transport Layer Security).

> Для поставщика, использующего дополнение SD, необходимо обновить следующие сведения:

TLS 1.1 устарел и обновлен до TLS 1.2
SNI активирован в вашей системе ERP:
- В рамках этого изменения у нас есть параметр профиля icm/HTTPS/client_sni_enabled, который должен быть активирован в вашей системе ERP. Этот параметр активирован по умолчанию в S/4 HANA или ядре 777 и выше, но для клиента ECC по умолчанию не активирован. Если этот параметр не активирован, соединение с управляемым шлюзом для Spend Management и SAP Business Network завершится неудачно с сертификатом "SSSLERR_SERVER_CERT_MISMATCH (-30)#Server не соответствует указанному TargetHostname". Ниже представлена SAP-нота и статья базы знаний Ariba, в которой объясняется, как активировать этот параметр. Кроме того, у нас есть возможность протестировать это из лабораторной системы управляемого шлюза для управления расходами и контроля качества SAP Business Network.
- https://launchpad.support.sap.com/#/notes/2970307
- https://launchpad.support.sap.com/#/notes/2970307
Сертификаты необходимо обновить
В облачный коннектор необходимо добавить подчиненные учетные записи
- Более подробная информация будет аналогична покупателю https://support.ariba.com/item/view/190590

Если поставщики по-прежнему сталкиваются с проблемами при подключении к управляемому шлюзу для управления расходами и SAP Business Network, они могут выполнить следующие шаги и обходное решение: обновление 28 октября 2020 г.

• Для соединения с тестовой инстанцией CIG: Замените testacig.ariba.com на aribacloudintegration-test.ariba.com

• Для подключения к инстанции PRODUCTION CIG: замените acig.ariba.com на aribacloudintegration.ariba.com

Обратите внимание, что ваши учетные данные для аутентификации не изменились. Если поставщик использует аутентификацию на основе сертификата и с помощью URL обходного решения необходимо обновить сертификат, необходимо создать случай, так как для URL обходного решения необходимо вручную добавить сертификаты.

Дополнительная информация

Для транзакций поставщика:

Входящие > Поставщик в управляемый шлюз для транзакций Spend Management и SAP Business Network

AS2 Поставщик - Шифрование с помощью нашего открытого ключа, то есть aribacloudintegration-test.ariba.com и aribacloudintegration.ariba.com
Отсутствие влияния на других поставщиков, если они не используют AS2

Исходящ.: управляемый шлюз для управления расходами и SAP Business Network для транзакций поставщика:

Аутентификация на основе сертификата:
- Для расшифровки поставщик должен будет использовать aribacloudintegration-test.ariba.com для тестирования
- Для расшифровки поставщик должен будет использовать aribacloudintegration.ariba.com для производства
Клиенты AS2:
- Управляемый шлюз для управления расходами и SAP Business Network подписывает с закрытым ключом ( aribacloudintegration.ariba.com / aribacloudintegration-test.ariba.com) и шифрует поставщика с открытым ключом поставщика

Применимо к

Управляемый шлюз SAP Integration Suite > Управляемый шлюз для SAP Business Network