SAP note 3565626 : Baltimore CyberTrust 根证书即将过期
症状
- 您已收到来⾃ SAP Integration Suite/Cloud Integration 服务的通知邮件, 建议 Baltimore CyberTrust 根证书将于 2025 年 5 ⽉ 12 ⽇ 过期,其中 Baltimore CyberTrust Root Certificate 是 DigiCert 提供的产品。
- 建议您审核⽤于集成场景的现有客户端证书, 以确保证书不依赖于此即将过期的证书, 如果是, 则应对其进⾏更新, 以便由 SAP全局信任列表中的其他受信任证书颁发机构签名。
- 此知识库⽂章的⽬ 的是向客户提供有关与 SAP Integration Suite/Cloud Integration 服务相关的所需操作的说明。
注意, Baltimore CyberTrust 根证书不是云集成 (CPI) 拥有的证书, 理论上可以在任何 SAP 或⾮ SAP 产品中显⽰。
本⽂仅与云集成服务相关。
环境
- 云集成
- SAP Integration Suite
原因
Baltimore CyberTrust Root Certificate 是 DigiCert 提供的产品, 在 DigiCert 于 2025 年 5 ⽉ 12 ⽇ 到期后, 将不再提供此 Root CA 证书的进⼀步延期或更新。 随着此证书的过期(和后续失效) , 将从 SAP 全局信任列表以及 CPI 密钥库中移除。 因此, SAP 及其⽤户/客户集成管理员对 Cloud Integration 服务的潜在影响:
- 云集成服务与此根 CA 证书没有相关性。 ⽆需从 SAP ⽅⾯进⾏更改/从标准服务⾓度来看预计不会产⽣影响。
- 可能存在依赖于此根 CA 证书的客户场景, 如果未采取适当的操作, 它们可能会受到影响。
客户端的集成管理员应评估此根 CA 证书过期的影响, 并做出相应反应。
解决⽅案
更改是什么?
作为 DigiCert 产品, Baltimore CyberTrust 根证书将于 2025 年 5 ⽉ 12 ⽇ 过期。 此根证书没有 DigiCert 的进⼀步扩展。
随着此证书的过期(和后续失效) , 该证书将⾃ 动从 SAP 全局信任列表以及 CPI 密钥库中移除, ⽽⽆需扩展 。 此根证书到期后, 由Baltimore CyberTrust 根证书签名的任何客户端证书(密钥对) 都将失效。
我受到影响吗?
此更改可能会影响与 Cloud Integration 租户之间的⼊站和出站通信, 或涉及私钥的任何其他步骤(例如签名和验证、 加密和解密等) 。
⼊站通信
仅当客户端(发送⽅系统) 将基于客户端证书的验证⽤于⼊站调⽤, 并且客户端证书由 “Baltimore CyberTrust Root CA” 签名时, 这才会产⽣影响。
因此, 客户应检查他们是否将基于客户端证书的验证⽤于对 iFlow 端点的⼊站调⽤, 如果是, 应使⽤哪个 CA 对⽤于验证这些调⽤的客户端证书进⾏签名。 这些租户的系统管理员通常了解哪些发送⽅系统正在调⽤其集成、 使⽤什么验证⽅法等, 但集成开发⼈员也可能有⼀些有价值的输⼊(因为他们会熟悉他们如何配置接⼜) 。
如果您没有为发送⽅适配器(iFlow 端点) 的调⽤使⽤基于客户端证书的验证 – ⽆需任何操作
如果使⽤基于客户端证书的验证, 但发送⽅系统的客户端证书由 ‘Baltimore CyberTrust Root CA’ 以外的 CA 签名 – ⽆需任何操作
如果对集成场景的⼊站调⽤使⽤基于客户端证书的验证, 并且客户端证书确实由 ‘Baltimore CyberTrust Root CA’ 签名, 则需要实施进⼀步操作, 如下所述。
需要进⼀步操作
客户(集成管理员) 必须确保⼊站调⽤的客户端证书由 SAP 负载平衡器⽀持的其他 CA 签名:
a. 系统管理员应⽣成新的客户端证书, 并由 SAP Note 2801396 – SAP 全局信任列表中列出的其他⽀持的 CA 之⼀对其进⾏签名。
重要说明: 不要从下列证书颁发机构中寻求 CSR, 该认证协议将随时从 SAP Note 2801396 中移除:
(请勿使⽤) Baltimore CyberTrust Root(由本 SAP KBA 寻址)
(请勿使⽤) Starfield Class 2 证书颁发机构(如 SAP KBA 3587385 – 2025: 即将更改云集成负载平衡器受信任证书)
(请勿使⽤) 认证 CA
(请勿使⽤) GlobalSign 根 CA
(请勿使⽤) Daddy 第 2 类认证机构
b. 更新 Cloud Integration 端的配置以反映证书更改。
更新 g 端的配 以反映证书更改
对于在 Cloud Foundry 上托管的云集成租户, 这将涉及更新服务密钥中维护的客户端证书。
请参阅 SAP 帮助 – 集成流处理的客户端证书验证和 SAP KBA 3297437 – ⽤于⼊站调⽤ CF 上 CPI 租户的客户端证书验证
对于在 NEO 环境中托管的云集成租户, 您可能需要在证书到⽤户的映射中或直接在发送⽅适配器配置中更新证书, 具体取决于您提供的配置选项。
请参阅 SAP 帮助 – 云集成 – 如何使⽤客户端证书设置安全 HTTP ⼊站连接
出站通信
通常, 如果从云集成租户到接收⽅系统的出站通信正在实施基于客户端证书的验证, 则将选择标准私钥
sap_cloudintegrationcertificate。
但是, 仍有少数客户可以选择使⽤⾃ ⼰的客户端证书来实施出站客户端证书验证调⽤。 特别是, 如果客户端证书由 Baltimore
CyberTrust Root 签署, 则必须在 2025 年 5 ⽉ 12 ⽇ Baltimore CyberTrust Root 过期之前将其替换为另⼀个签名 CA。
因此, 客户应检查他们是否对从接收⽅适配器到接收⽅系统的出站调⽤使⽤基于客户端证书的验证。 如果是, 他们应检查所涉及适配
器的客户端证书以验证 签名的客户端证书是哪个 CA。
如果您没有为来⾃ 接收⽅适配器的调⽤使⽤基于客户端证书的验证 – ⽆需任何操作
如果您正在使⽤基于客户端证书的验证, 但接收⽅适配器中配置的客户端证书未由 Baltimore CyberTrust Root(例如
sap_cloudintegrationcertificate) 签名 – ⽆需任何操作
万⼀您正在使⽤由 Baltimore CyberTrust Root 签名的客户端证书, 则应在适配器配置中使⽤其他客户端证书(例如
sap_cloudintegrationcertificate) 将此客户端证书替换为其他签名 CA(例如 sap_cloudintegrationcertificate) , 或从其他 CA 中查找
CSR(证书签名请求) 。 ⽆论哪种⽅式, 都必须确保新的客户端证书已上传到接收⽅系统的信任存储。
请参阅云集成 – 如何使⽤密钥库监控器设置安全出站 HTTP 连接
同样, 为了确定您在云集成租户的出站调⽤、 正在使⽤哪个客户端证书以及哪个客户端证书是签名 CA 中使⽤基于客户端证书的验证,
您应该咨询最熟悉集成场景配置的⽤户。 这些通常是租户管理员、 集成开发⼈员等。 (负责设计、 配置和部署集成流的⼈员) 。
在次要情况下, ⽬ 标服务器可能仍具有由 Baltimore CyberTrust Root CA 签署的服务器证书。
过期后, 对此类故障服务器的所有 API 请求都将因 SSL 错误⽽失败, 浏览器访问最终可能会出现“您的连接不是私有”或“潜在安全风
险”等安全警告。 这⾸先属于⽬ 标服务器管理员的范围, 以便始终使⽤有效的证书链设置服务器, 并通知其⽤户。 通知后, 集成管理员
应将新的根 CA 导⼊到云集成租户的密钥库, 因为只有⽬ 标服务器管理员才能知道新的根 CA。
是否可以简单地续订证书⽽不是替换证书?
⽆法执⾏此操作。 由于 Digicert 收购了 Cybertrust 根证书颁发机构, 巴尔的摩 CyberTrust Root 证书的使⽤期限有限, 并且该证书不
会延长到 2025 年 5 ⽉ 12 ⽇ 。 因此, ⽆法“续订”此证书, 并且由此证书颁发机构签名的客户端证书将不再适⽤于使⽤基于客户端证书
的验证的任何场景中的验证调⽤。
的验证的任何场景中的验证调⽤。
常见问题
1. 问: 如果不采取⾏动, 会有什么影响?
答: 您的集成场景可能会中断。
由于巴尔的摩 CyberTrust Root 证书已接近有效期,并不是 DigiCert 的建议者。
2. 问: 我需要 SAP 来执⾏所有检查/提供分步指导/与我⼀起执⾏此操作/检查我的配置。
答: 这是⼀项收费服务, 不能由⽀持渠道履⾏。
请联系您的 CEE/CSP/客户主管, 为您分配专业服务。
请参阅 SAP KBA 2671448 – 如何找到我们的 SAP CSM 或 CEE 联系⼈ – SAP for Me
3. Q: 此证书在我的 S4 / S4HC / SF / Ariba / C4C / … 中存在, 并且即将过期。 我应该做什么?
答: 这不属于 SAP Cloud Integration 和本⽂的范围。
作为类参考, 您可以查看 SAP Note 3053848 – SAP 云产品和组件区域的⽬ 录(联系对象)
云集成/LOD-HCI-PI* 不是常规证书主题的分类组件。
在此组件下错误创建的消息将为 1) 设置为最低优先级 2) 未回复。
4. 问: 此电⼦邮件的⽬ 标是谁?
答: 业务经理和集成管理员应了解对集成场景的潜在影响。
5. 问: 这种变化为什么发⽣?
答: Baltimore CyberTrust 根证书将于 2025 年 5 ⽉ 12 ⽇ 到期, 并且 DigiCert 不会延长其寿命。
6. 问: SAP 请扩展此证书。
答: Baltimore CyberTrust Root 证书是 DigiCert 提供的产品, 其中 SAP ⽆权对此根证书进⾏操作。
7. 问: 为什么在 CPI 中使⽤ Baltimore CyberTrust 根证书?
答: SAP BTP 信任流⾏的根 CA 证书列表。 Baltimore CyberTrust 根证书是其中之⼀。
8. Q: 在 CPI 密钥库中, Baltimore CyberTrust 根证书显⽰为“由 SAP 创建”, ⽆法移除。 SAP 不拥有此证书? 我们应该怎么做?
A: 编号Baltimore CyberTrust Root Certificate 是 DigiCert 提供的产品。
SAP BTP 信任流⾏的根 CA 证书列表, 包括当前过期的 Baltimore CyberTrust 根证书, 因此 SAP 在 默认之前已向 CPI
密钥库导⼊。 此 IMPORT 操作在 CPI 密钥库中标记为“由 SAP 创建”。
客户⽆需对此即将到期的根证书本⾝执⾏任何操作。 按照本⽂的 解决⽅案 部分操作, 检查集成场景是否可能会受到影响。
9. 问: 我在 STRUST/PSE 中看到相同的证书。 我应该做什么?
答: 这不属于 CPI 的范围, 因为 CPI 从未要求任何客户在 STRUST 中导⼊ Baltimore CyberTrust 证书。 S4 系统管理员应了解更多详细信息。
10. 问: 我们什么时候需要采取⾏动?
答: 2025 年 5 ⽉ 之前, 尽快完成。
11. 问: 我应该为 CSR 请求哪个根 CA?
答: SAP 对此没有偏好。 SAP Note 中提及的任何根 CA 都应有效: 2801396 – SAP 全局信任列表, 以下除外:
(请勿使⽤) Baltimore CyberTrust Root(由本 SAP KBA 寻址)
(请勿使⽤) Starfield Class 2 证书颁发机构(如 SAP KBA 3587385 – 2025: 即将更改云集成负载平衡器受信任证书)
(请勿使⽤) 认证 CA
(请勿使⽤) GlobalSign 根 CA
(请勿使⽤) Daddy 第 2 类认证机构
12. 问: 如何获得与 CPI 相关的变更通知?
答: SAP 会不时发送有关您的 CPI 服务更新的⾃ 动电⼦邮件。 最终⽤户必须订阅以接收这些电⼦邮件。 有关所涉及步骤的更多详细信息, 请参阅以下资源:
1. SAP KBA 2900069 – S ⽤户如何管理⾃ ⼰的云通知订阅 – SAP for Me
2. SAP KBA 2765458 – 云集成 – 可⽤性和通知
13. 问: 谁应该订阅⾃ 动电⼦邮件?
答: 这是每位客户决定的问题。 当然, 应订阅管理员。 最终⽤户/开发⼈员也可以从中受益。 业务主管还应了解重⼤变更, 以确保进⾏充分的计划和测试。
