连接到面向 Spend&Network 的托管网关时，我收到如下所示的握手失败错误：

连接已关闭，尝试执行文档到 https://acig-us.ariba.com/as2/as2 的 HTTP Post 时握手失败
日志显示错误："ERR_CERT_CHAIN_UNTRUSTED" 和“签名不匹配”

美国数据中心：

• 测试：https://testacig-us.ariba.com
• 生产：https://acig-us.ariba.com

欧盟数据中心：

• 测试：https://testacig.ariba.com
• 生产：https://acig.ariba.com

用于连接的中间件/系统与服务器名称指示 (SNI) 协议不兼容。如果您的中间件与 SNI 不兼容，则与面向 Spend&Network 的托管网关端点一起使用的验证证书是 cf 域证书。如果您的中间件已启用 SNI，则直接使用 acig 域证书而不是 cf 域证书进行验证。

BTP 已为影响非 SNI 启用连接的以下域续订证书：

• 美国数据中心
  • 区域：美国东部（弗吉尼亚州）AWS
  • 端点：https://api.cf.us10.hana.ondemand.com/
• 欧盟数据中心
  • 区域：欧洲（法兰克福）AWS
  • 端点：https://api.cf.eu10.hana.ondemand.com/

永久解决方案（推荐）：

您必须在用于与面向 Spend&Network 的托管网关连接的中间件/系统上启用 SNI，以确保无缝连接。由于不建议使用 cf 域证书，因此每当更新 cf 域证书时，我们都不会通知客户，因此启用 SNI 将阻止未来出现握手失败问题。

重新建立连接的临时解决方法（不推荐）：

您必须在 PI 信任的 CA 密钥库中加载续订的根证书和中间证书。加载此新证书将暂时解决连接问题，但如果您未实施为中间件/系统启用 SNI 的永久解决方案，则每当将来更新 cf 域证书都将遇到握手故障。

• 如果使用美国数据中心，您可以通过转到浏览器中的 URL https://api.cf.us10.hana.ondemand.com/ 并按照以下步骤下载新证书：
  1. 在浏览器中的 URL 左侧，单击 [查看站点信息] 图标。
  2. 单击“连接是安全的”。
  3. 根据您的浏览器，单击 [查看证书] 图标、证书是有效链接或更多信息 > 查看证书按钮以查看要加载的证书。
• 如果使用欧盟数据中心，您可以通过转到浏览器中的 URL https://api.cf.eu10.hana.ondemand.com/ 并按照以下步骤下载新证书：
  1. 在浏览器中的 URL 左侧，单击 [查看站点信息] 图标。
  2. 单击“连接是安全的”。
  3. 根据您的浏览器，单击 [查看证书] 图标、证书是有效链接或更多信息 > 查看证书按钮以查看要加载的证书。

有关在 SAP BTP Cloud Foundry 环境中完成的证书替换的详细信息，请参阅 SAP BTP Cloud Foundry 环境中的根证书替换。

有关证书替换的详细信息，请参阅面向支出管理的 SAP Integration Suite 托管网关和 SAP Business Network - 供应商方的证书替换所需的客户特定更改是什么？

要查看 SAP 之前共享的关于需要 SNI 兼容性的更改的信息，请参阅 常见问题 - 面向 Spend & Network 的托管网关证书更改 US DC – 2020 年 10 月 26 日 和 常见问题 - 面向 Spend & Network 的托管网关证书更改 EU DC - 2020 年 10 月 26 日

SAP Integration Suite 托管网关
SAP Integration Suite 托管网关 > 面向供应商扩展组件的托管网关
SAP Integration Suite 托管网关 > 面向采购的托管网关