What are the customer specific changes required for SAP Integration Suite, managed gateway for spend management and SAP Business Network - Certificate Replacement on supplier side?

	简体中文 - 机器翻译	
Deutsch - 机器翻译 English Español - 机器翻译 Français (France) - 机器翻译 Italiano - 机器翻译日本語 - 机器翻译 한국어 - 机器翻译 Português (Brasil) - 机器翻译 Русский - 机器翻译

常见问题 KB0404023

面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network - 供应商方的证书替换需要哪些客户特定更改？

为您方便起见，此知识库文章由机器进行翻译。SAP Ariba 不会对有关机器翻译的准确性或完整性提供任何保证。您可以通过使用语言选择器切换到英语来查找原始内容。

症状

面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network - 证书替换所需的供应商特定更改是什么？

解决方案

面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 客户端证书替换：此更改适用于所有使用基于证书的验证或使用其有效负载的加密/签名的客户（使用 AS2 的供应商），这与其用于连接到面向 Spend&Network 的托管网关无关。如果供应商使用基本验证，则不会对其产生影响，并且证书客户可能当前将工作。

何时进行证书更改？2020 年 10 月 26 日 12:00pm – 3:00pm PST/ 9:00 PM -12:00 AM CET
更改了哪些内容？
- 由于安全标准，面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 正在分别将租户 (Client) 和测试环境和生产环境的负载平衡器证书分开。
  1. 负载平衡器证书（用于客户到面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network 连接或与面向 Spend&Network 的托管网关的 SSL 连接）- testacig.ariba.com 和 acig.ariba.com，这些证书不会更改。7 月 23 日使用或更新的计划将保持不变。
  2. 正在实施客户端（租户）证书（用于相互身份验证）/签名/加密 - 解密新 URL。
  3. 测试证书：testacig.ariba.com 将替换为 aribacloudintegration-test.ariba.com ，对于生产，acig.ariba.com 将替换为 aribacloudintegration.ariba.com
    - 注意：如何通过 CIG 识别基于证书的身份验证？
      - 转到面向 Spend&Network 的托管网关菜单 > 我的配置 > 连接
      - 传输类型应为 HTTPS，验证类型应为证书。
可以从以下位置下载证书：
供应商必须更改 URL？- 否，URL 相同且未更改。
IP 范围需要更改：面向 Spend&Network 的托管网关的 IP 范围保持不变。
供应商必须安装新证书的所有三个层：是，供应商必须手动提取根证书、中间证书和主证书
TLS 合规性相关的常见问题：
- 如果我的集成通道仍在使用 TLS 1.1 或其中一个不受支持的密码，我该怎么办？
  - 我们建议您立即联系 IT 部门。他们应熟悉这些协议和密码，以确定您的集成是否合规。
- 如果我们在截止日期之前不合规会怎样？
  - 如果需要升级到 TLS 1.2（很可能您的系统已支持 TLS 1.2 - 与 IT 部门验证），则仅支持 TLS 1.1 的集成服务器将无法与面向支出管理和 SAP Business Network 的 SAP Integration Suite 托管网关进行通信。此外，请确保您的集成已实施支持的密码或通信将中断。
证书的所有序列密钥如下所示：
- acig.ariba.com - ‎02 21 96 a6 c3 dd b0 1f 3a 25 e0 78 9a 5a 3a 4a
- testacig.ariba.com - ‎04 b7 3c eb 3b ce c4 1e 03 16 d3 5f f9 80 b0 d0
- ‎aribacloudintegration.ariba.com - 02 9c 2a 7c fc 59 d9 28 5b c7 ad 09 ca 73 0d a8
- ‎aribacloudintegration-test.ariba.com - 0f 40 2f 80 30 00 7f da d9 43 11 69 f9 9a 55 fc
确保连接到面向 Spend&Network 的托管网关的系统配置为接受 SNI（服务器名称指示）TLS（传输层安全）扩展。

> 对于使用 SD 扩展组件的供应商，需要更新以下详细信息：

TLS 1.1 已弃用并升级到 TLS 1.2
已在您的 ERP 中启用 SNI：
- 作为此更改的一部分，我们有一个应在您的 ERP 系统上启用的参数文件参数 icm/HTTPS/client_sni_enabled。默认情况下，在 S/4 HANA 或内核 777 及更高版本上启用此参数，但默认情况下不会为 ECC 客户启用此参数。如果未启用此参数，则与面向 Spend&Network 的托管网关的连接将失败，并显示“SSSLERR_SERVER_CERT_MISMATCH (-30)#Server 证书与提供的 TargetHostname 不匹配”。以下是 SAP Note 和 Ariba KBA，介绍了如何激活此参数。此外，我们还可以从面向 Spend&Network 的托管网关 QA 实验室系统中对此进行测试。
- https://launchpad.support.sap.com/#/notes/2970307
- https://launchpad.support.sap.com/#/notes/2970307
需要更新证书
需要在云连接器中添加子账户
- 更多详细信息将与买方类似 https://support.ariba.com/item/view/190590

如果供应商仍面临连接到面向 Spend&Network 的托管网关的问题，他们可以按照以下步骤以及解决方法进行操作：2020 年 10 月 28 日更新

• 对于与 CIG 的测试实例连接：将 testacig.ariba.com 替换为 aribacloudintegration-test.ariba.com

• 对于与 CIG 的 PRODUCTION 实例的连接：将 acig.ariba.com 替换为 aribacloudintegration.ariba.com

请注意，您的身份验证凭据保持不变。如果供应商使用基于证书的验证并使用变通方法 URL 来更新证书，则需要报告案例，因为需要手动为解决方案 URL 添加证书。

附加信息

对于供应商交易：

入站 > 供应商到面向 Spend&Network 的托管网关交易

AS2 供应商 - 使用我们的公钥加密，即 aribacloudintegration-test.ariba.com 和 aribacloudintegration.ariba.com
如果不使用 AS2，对任何其他供应商均没有影响

出站：面向 Spend&Network 的托管网关到供应商交易：

基于证书的身份验证：
- 对于解密，供应商必须使用 aribacloudintegration-test.ariba.com 进行测试
- 对于解密，供应商必须使用 aribacloudintegration.ariba.com 进行生产
AS2 客户：
- 面向 Spend&Network 的托管网关将使用私钥 ( aribacloudintegration.ariba.com / aribacloudintegration-test.ariba.com) 进行签名，并使用供应商公钥对供应商进行加密

适用产品

SAP Integration Suite 托管网关 > 面向业务网络的托管网关