Änderung bei den benötigten SSL-Zertifikaten für SAP-Systeme

Damit eine direkte HTTPS-Verbindung zwischen dem SAP-System und dem AEB-Rechenzentrum möglich ist, benötigen Sie die 'Root'- und 'Intermediates'-Zertifikate der ausstellenden CA.

• Beachten Sie: Ab dem 21. September 2025 werden neue Zertifikate für die Kommunikation mit rz3.aeb.de verwendet:

Informationen zu allen aktuell verwendeten Zertifikaten finden Sie im Help Center Artikel Hostnames und verwendete Zertifikate der AEB-Rechenzentren. Weitere Informationen entnehmen Sie dem Installations- und Konfigurationsleitfaden für Ihre Anwendung. Dieser steht im Serviceportal von AEB für Sie zum Download bereit.

Inhaltsverzeichnis

Download der neuen Zertifikate

Einspielen der neuen Zertifikate im SAP-System

Umstellung im Produktivsystem

FAQ

Download der neuen Zertifikate

Laden Sie die neuen Zertifikate über diese Links herunter:

https://cacerts.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crt.pem

https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem

Alternativ können Sie die Zertifikate auch unter https://www.digicert.com/kb/digicert-root-certificates.htm herunterladen. Suchen Sie dort nach den folgenden Namen:

• DigiCert Global G2 TLS RSA SHA256 2020 CA1
• DigiCert Global Root G2

Einspielen der neuen Zertifikate im SAP-System

1. Zum Einspielen der Zertifikate starten Sie den Trust-Manager bzw. die Transaktion STRUST. Wechseln Sie in den Änderungsmodus.
2. Klicken Sie doppelt auf SSL-CLIENT (Standard). Wenn die Einrichtung der Verbindung zum das AEB-Rechenzentrum über den SOA-Manager erfolgt ist, müssen die Zertifikate zusätzlich in den SSL-CLIENT (Anonym) geladen werden.
3. Wählen Sie in der Feldgruppe Zertifikat die Schaltfläche Zertifikat importieren.
4. Falls angezeigt, wählen Sie bei der Option Dateiformat den Wert binär aus.
5. Wählen Sie für den Import die Datei mit dem Root-Zertifikat aus.
6. Klicken Sie auf In Zert.-Liste aufnehmen.
7. Wiederholen Sie den Schritt 5 und 6 für das Intermediate-Zertifikat.
8. Wählen Sie nun im Menü PSE die Menüfunktion Alle verteilen. Damit sind die Zertifikate auf allen Applikationsservern verteilt und installiert.
9. Damit die importierten Zertifikate im ICM aktualisiert werden, führen Sie in der Transaktion SMICM im Menü Administration die Funktion ICM – Soft beenden – Global aus.

Umstellung im Produktivsystem

Spielen Sie die neuen Zertifikate rechtzeitig vor dem Umstellungstermin (21.09.2025) im SAP Produktivsystem ein.

Zum Zeitpunkt der Umstellung wird der Truststore im SAP-System automatisch erkennen, dass die neuen Zertifikate zu verwenden sind.

• Behalten Sie die bisher verwendeten Zertifikate im Trust-Manager für eine Übergangsphase, oder länger wenn Sie Verbindungen in andere Systeme haben, welche Zertifikatsketten nutzen. AEB empfiehlt, die alten Zertifikate erst nach 6 Monaten zu löschen.
• In manchen SAP-Systemen ist eine Prüfung auf den Widerruf von Zertifikaten aktiviert. Damit soll sichergestellt werden, dass ein bestimmtes Zertifikat nicht von der ausstellenden Zertifizierungsstelle (CA) widerrufen wurde. Dafür wird ein sogenannter „Revocation Service“ konfiguriert. Dieser Service muss auf eine gültige „Certificate Revocation“ List (CRL) zugreifen können. Falls Sie diesen Service einsetzen, müssen Sie sicherstellen, dass der CRL-Verteilungspunkt zugänglich ist und dass die CRL regelmäßig aktualisiert wird. Das gilt insbesondere für das Produktivsystem. Bei der ersten Verwendung des neuen Zertifikates wird dieser Service eine entsprechende Prüfung ausführen.

FAQ

Hier finden Sie eine Liste von Antworten zu oft gestellten Fragen:

Ich setze neben oder anstelle von SAP noch andere Middleware ein. Bin ich von der Umstellung trotzdem betroffen?

AEB kennt nicht alle ERP- und Middleware-Systeme und deren Besonderheiten. Es ist empfehlenswert, auch bei Nicht-SAP-Systemen zu prüfen, ob die genannten CA Root Zertifikate in den zugehörigen Trust Stores enthalten sind. Intermediates sollten hier aller Erfahrung nach nicht nötig sein, das ist ausschließlich von SAP bekannt.

Ich habe die Zertifikatskette in meinem SAP-System erweitert, trotzdem kommt es im Testsystem/nach der Umstellung von AEB zu Problemen. Was kann ich noch tun?

Beachten Sie, dass Sie die Zertifikate evtl. ebenfalls in Ihrer Firewall oder Ihrem Proxy erweitern müssen.

Ich habe die Zertifikatskette in den Systemen, die mit AEB-Systemen in Verbindung stehen angepasst. Muss ich die alten Zertifikate nun löschen?

1. Prüfen Sie, ob Sie die Zertifikate noch für die Verbindung mit anderen Systemen verwenden und wenn ja behalten Sie diese bei
2. Nutzen Sie die Zertifikate in keinem anderen System, empfehlen wir diese für eine Übergangsfirst von 6 Monaten nach der Umstellung von AEB (21.09.20205) zu behalten.

Wie lange werden die neu eingetragenen Zertifikate gültig sein?

Eine erneute Umstellung wird voraussichtlich 2029 notwendig werden.

Können die neuen Zertifikate schon vorab eingespielt werden oder erst ab dem 21. September?

Spielen sie die neuen Zertifikate unbedingt schon vorab in allen SAP-Systemen ein, auch im Produktivsystem. Die o.g. Testmöglichkeit können Sie auch im Produktivsystem vorab einsetzen, indem temporär eine Destination in der SM59 oder im SOAMANAGER mit der Test-URL konfiguriert wird. Verwenden Sie den gleichen URL-Pfad wie im Testsystem (siehe Abschnitt "Optional - Verbindung mit den neuen Zertifikaten testen").
Beim Verbindungstest aus der Destination heraus wird auf die Zertifikate zugegriffen.

Wieso kommt die Meldung „Zertifikat bereits vorhanden“ beim Import eines der Zertifikate?

Es kann durchaus sein, dass diese Zertifikate bereits durch eine andere Anforderung in Ihrem System importiert wurde.

Diese Zertifikate werden in verschiedenen Kommunikationsszenarien verwendet und sind nicht AEB-spezifisch. Sollten die Zertifikate bereits in Ihrem System vorhanden sein, müssen Sie diese nicht noch einmal importieren.