Änderung bei den benötigten SSL-Zertifikaten für SAP-Systeme

Damit eine direkte HTTPS-Verbindung zwischen dem SAP-System und dem AEB-Rechenzentrum möglich ist, benötigen Sie die für AEB ausgestellten 'Root SSL'- und 'Intermediates'-Zertifikate.

• Beachten Sie: Ab dem 21. September 2025 werden neue Zertifikate für die Kommunikation mit rz3.aeb.de verwendet:

Informationen zu allen aktuell verwendeten Zertifikaten finden Sie im Help Center Artikel Hostnames und verwendete Zertifikate der AEB-Rechenzentren. Weitere Informationen entnehmen Sie dem Installations- und Konfigurationsleitfaden für Ihre Anwendung. Dieser steht im Serviceportal von AEB für Sie zum Download bereit.

Inhaltsverzeichnis

Download der neuen Zertifikate

Einspielen der neuen Zertifikate im SAP-System

Optional: Verbindung mit neuen Zertifikaten testen

Umstellung im Produktivsystem

FAQ

Download der neuen Zertifikate

Laden Sie die neuen Zertifikate über diese Links herunter:

https://cacerts.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crt.pem

https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem

Alternativ können Sie die Zertifikate auch unter https://www.digicert.com/kb/digicert-root-certificates.htm herunterladen. Suchen Sie dort nach den folgenden Namen:

• DigiCert Global G2 TLS RSA SHA256 2020 CA1
• DigiCert Global Root G2

Einspielen der neuen Zertifikate im SAP-System

1. Zum Einspielen der Zertifikate starten Sie den Trust-Manager bzw. die Transaktion STRUST. Wechseln Sie in den Änderungsmodus.
2. Klicken Sie doppelt auf SSL-CLIENT (Standard). Wenn die Einrichtung der Verbindung zum das AEB-Rechenzentrum über den SOA-Manager erfolgt ist, müssen die Zertifikate zusätzlich in den SSL-CLIENT (Anonym) geladen werden.
3. Wählen Sie in der Feldgruppe Zertifikat die Schaltfläche Zertifikat importieren.
4. Falls angezeigt, wählen Sie bei der Option Dateiformat den Wert binär aus.
5. Wählen Sie für den Import die Datei mit dem Root-Zertifikat aus.
6. Klicken Sie auf In Zert.-Liste aufnehmen.
7. Wiederholen Sie den Schritt 5 und 6 für das Intermediate-Zertifikat.
8. Wählen Sie nun im Menü PSE die Menüfunktion Alle verteilen. Damit sind die Zertifikate auf allen Applikationsservern verteilt und installiert.
9. Damit die importierten Zertifikate im ICM aktualisiert werden, führen Sie in der Transaktion SMICM im Menü Administration die Funktion ICM – Soft beenden – Global aus.

Optional: Verbindung mit den neuen Zertifikaten testen

Testen Sie die Verbindung mit den erweiterten Zertifikaten vor der Umstellung am 21.09.2025 in einer Ihrer Testumgebung. Dafür stellt AEB neue URLs für die Testsysteme zur Verfügung. Für den Zugriff von Ihrem SAP aus auf rz3-test.aeb.de müssen ggf. Ihre Firewall- und/oder Proxy-Systeme ergänzt werden, falls dort bisher ausschließlich rz3.aeb.de als erlaubtes Ziel enthalten ist. Wir empfehlen grundsätzlich die Freischaltung aller AEB Subnetze, siehe hier.

• Voraussetzungen:

1. Ihnen sind die Anmeldedaten für die Anwendung bekannt.
2. Die bisherige URL für das Testsystem bei AEB beginnt mit rz3.aeb.de. Diese speziellen URLs sind zudem nur für bestimmte Anwendungen verfügbar:
   • Carrier Cloud for SAP
   • Customs Management (Direct Filing , Broker)
   • Import Filing: ATLAS
   • Export Filing: ATLAS
   • EMCS
   • Monitoring & Alerting
   • Product Classification
   • Origin & Preferences
   • Trade Compliance Management

Gehen Sie wie folgt vor, wenn Sie diese Möglichkeit nutzen wollen:

1. Laden Sie die neuen Zertifikate in den Trust-Manager des SAP-Testsystems (siehe oben) .
2. Öffnen Sie dort die konfigurierte Verbindung zum AEB-Rechenzentrum, entweder im SOA-Manager oder in der Transaktion SM59. Sie finden den Namen der Verbindung im AEB-Cockpit, in der Mappe Customizing.
3. Ändern Sie in der URL der Verbindung den Wert „rz3.aeb.de“ auf „rz3-test.aeb.de“ und Speichern Sie die Änderung.
4. Benutzer und Passwort ändern sich nicht. Tragen Sie diese Werte ggf. erneut ein, wenn diese beim Speichern der Verbindung zurückgesetzt wurden.
5. Testen Sie die Verbindung über den Verbindungstest im AEB-Cockpit.
6. Stellen Sie nach dem erfolgreichen Test wieder auf die ursprüngliche URL zurück – diese besondere Testumgebung wird nach der Umstellung im September deaktiviert.

Umstellung im Produktivsystem

Spielen Sie die neuen Zertifikate rechtzeitig vor dem Umstellungstermin (21.09.2025) im SAP Produktivsystem ein.

Zum Zeitpunkt der Umstellung wird der Truststore im SAP-System automatisch erkennen, dass die neuen Zertifikate zu verwenden sind.

• Behalten Sie die bisher verwendeten Zertifikate im Trust-Manager für eine Übergangsphase, oder länger wenn Sie Verbindungen in andere Systeme haben, welche Zertifikatsketten nutzen. AEB empfiehlt, die alten Zertifikate erst nach 6 Monaten zu löschen.

FAQ

Hier finden Sie eine Liste von Antworten zu oft gestellten Fragen:

Ich setze neben oder anstelle von SAP noch andere Middleware ein. Bin ich von der Umstellung trotzdem betroffen?

AEB kennt nicht alle ERP- und Middleware-Systeme und deren Besonderheiten. Es ist empfehlenswert, auch bei Nicht-SAP-Systemen zu prüfen, ob die genannten CA Root Zertifikate in den zugehörigen Trust Stores enthalten sind. Intermediates sollten hier aller Erfahrung nach nicht nötig sein, das ist ausschließlich von SAP bekannt.

Ich habe die Zertifikatskette in meinem SAP-System erweitert, trotzdem kommt es im Testsystem/nach der Umstellung von AEB zu Problemen. Was kann ich noch tun?

Beachten Sie, dass Sie die Zertifikate evtl. ebenfalls in Ihrer Firewall oder Ihrem Proxy erweitern müssen.

Ich habe die Zertifikatskette in den Systemen, die mit AEB-Systemen in Verbindung stehen angepasst. Muss ich die alten Zertifikate nun löschen?

1. Prüfen Sie, ob Sie die Zertifikate noch für die Verbindung mit anderen Systemen verwenden und wenn ja behalten Sie diese bei
2. Nutzen Sie die Zertifikate in keinem anderen System, empfehlen wir diese für eine Übergangsfirst von 6 Monaten nach der Umstellung von AEB (21.09.20205) zu behalten.
3.