SAP note 3565626 ： Baltimore CyberTrust 根證書即將過期

SAP note 3565626 ： Baltimore CyberTrust 根證書即將過期 20250512

2025年5月9日

癥狀

您已收到來? SAP Integration Suite/Cloud Integration 服務的通知郵件，建議 Baltimore CyberTrust 根證書將于 2025 年 5 ? 12 ? 過期，其中 Baltimore CyberTrust Root Certificate 是 DigiCert 提供的產品。
建議您審核?于集成場景的現有客戶端證書，以確保證書不依賴于此即將過期的證書，如果是，則應對其進?更新，以便由 SAP全局信任列表中的其他受信任證書頒發機構簽名。
此知識庫?章的? 的是向客戶提供有關與 SAP Integration Suite/Cloud Integration 服務相關的所需操作的說明。

注意， Baltimore CyberTrust 根證書不是云集成 (CPI) 擁有的證書，理論上可以在任何 SAP 或? SAP 產品中顯?。
本?僅與云集成服務相關。

環境

云集成
SAP Integration Suite

原因

Baltimore CyberTrust Root Certificate 是 DigiCert 提供的產品，在 DigiCert 于 2025 年 5 ? 12 ? 到期后，將不再提供此 Root CA 證書的進?步延期或更新。隨著此證書的過期（和后續失效），將從 SAP 全局信任列表以及 CPI 密鑰庫中移除。因此， SAP 及其?戶/客戶集成管理員對 Cloud Integration 服務的潛在影響：

云集成服務與此根 CA 證書沒有相關性。 ?需從 SAP ??進?更改/從標準服務?度來看預計不會產?影響。
可能存在依賴于此根 CA 證書的客戶場景，如果未采取適當的操作，它們可能會受到影響。

客戶端的集成管理員應評估此根 CA 證書過期的影響，并做出相應反應。

解決?案

更改是什么？

作為 DigiCert 產品， Baltimore CyberTrust 根證書將于 2025 年 5 ? 12 ? 過期。此根證書沒有 DigiCert 的進?步擴展。
隨著此證書的過期（和后續失效），該證書將? 動從 SAP 全局信任列表以及 CPI 密鑰庫中移除， ??需擴展。此根證書到期后，由Baltimore CyberTrust 根證書簽名的任何客戶端證書（密鑰對）都將失效。
我受到影響嗎？
此更改可能會影響與 Cloud Integration 租戶之間的?站和出站通信，或涉及私鑰的任何其他步驟（例如簽名和驗證、加密和解密等）。

?站通信

僅當客戶端（發送?系統）將基于客戶端證書的驗證?于?站調?，并且客戶端證書由 “Baltimore CyberTrust Root CA” 簽名時，這才會產?影響。
因此，客戶應檢查他們是否將基于客戶端證書的驗證?于對 iFlow 端點的?站調?，如果是，應使?哪個 CA 對?于驗證這些調?的客戶端證書進?簽名。這些租戶的系統管理員通常了解哪些發送?系統正在調?其集成、使?什么驗證?法等，但集成開發?員也可能有?些有價值的輸?（因為他們會熟悉他們如何配置接?）。
如果您沒有為發送?適配器（iFlow 端點）的調?使?基于客戶端證書的驗證 – ?需任何操作
如果使?基于客戶端證書的驗證，但發送?系統的客戶端證書由 ‘Baltimore CyberTrust Root CA’ 以外的 CA 簽名 – ?需任何操作
如果對集成場景的?站調?使?基于客戶端證書的驗證，并且客戶端證書確實由 ‘Baltimore CyberTrust Root CA’ 簽名，則需要實施進?步操作，如下所述。

需要進?步操作

客戶（集成管理員）必須確保?站調?的客戶端證書由 SAP 負載平衡器?持的其他 CA 簽名：
a. 系統管理員應?成新的客戶端證書，并由 SAP Note 2801396 – SAP 全局信任列表中列出的其他?持的 CA 之?對其進?簽名。
重要說明：不要從下列證書頒發機構中尋求 CSR，該認證協議將隨時從 SAP Note 2801396 中移除：
（請勿使?） Baltimore CyberTrust Root（由本 SAP KBA 尋址）
（請勿使?） Starfield Class 2 證書頒發機構（如 SAP KBA 3587385 – 2025：即將更改云集成負載平衡器受信任證書）
（請勿使?）認證 CA
（請勿使?） GlobalSign 根 CA
（請勿使?） Daddy 第 2 類認證機構
b. 更新 Cloud Integration 端的配置以反映證書更改。
更新 g 端的配以反映證書更改
對于在 Cloud Foundry 上托管的云集成租戶，這將涉及更新服務密鑰中維護的客戶端證書。
請參閱 SAP 幫助 – 集成流處理的客戶端證書驗證和 SAP KBA 3297437 – ?于?站調? CF 上 CPI 租戶的客戶端證書驗證
對于在 NEO 環境中托管的云集成租戶，您可能需要在證書到?戶的映射中或直接在發送?適配器配置中更新證書，具體取決于您提供的配置選項。
請參閱 SAP 幫助 – 云集成 – 如何使?客戶端證書設置安全 HTTP ?站連接

出站通信

通常，如果從云集成租戶到接收?系統的出站通信正在實施基于客戶端證書的驗證，則將選擇標準私鑰
sap_cloudintegrationcertificate。
但是，仍有少數客戶可以選擇使?? ?的客戶端證書來實施出站客戶端證書驗證調?。特別是，如果客戶端證書由 Baltimore
CyberTrust Root 簽署，則必須在 2025 年 5 ? 12 ? Baltimore CyberTrust Root 過期之前將其替換為另?個簽名 CA。
因此，客戶應檢查他們是否對從接收?適配器到接收?系統的出站調?使?基于客戶端證書的驗證。如果是，他們應檢查所涉及適配
器的客戶端證書以驗證簽名的客戶端證書是哪個 CA。
如果您沒有為來? 接收?適配器的調?使?基于客戶端證書的驗證 – ?需任何操作
如果您正在使?基于客戶端證書的驗證，但接收?適配器中配置的客戶端證書未由 Baltimore CyberTrust Root（例如
sap_cloudintegrationcertificate）簽名 – ?需任何操作
萬?您正在使?由 Baltimore CyberTrust Root 簽名的客戶端證書，則應在適配器配置中使?其他客戶端證書（例如
sap_cloudintegrationcertificate）將此客戶端證書替換為其他簽名 CA（例如 sap_cloudintegrationcertificate），或從其他 CA 中查找
CSR（證書簽名請求）。 ?論哪種?式，都必須確保新的客戶端證書已上傳到接收?系統的信任存儲。
請參閱云集成 – 如何使?密鑰庫監控器設置安全出站 HTTP 連接
同樣，為了確定您在云集成租戶的出站調?、正在使?哪個客戶端證書以及哪個客戶端證書是簽名 CA 中使?基于客戶端證書的驗證，
您應該咨詢最熟悉集成場景配置的?戶。這些通常是租戶管理員、集成開發?員等。（負責設計、配置和部署集成流的?員）。
在次要情況下， ? 標服務器可能仍具有由 Baltimore CyberTrust Root CA 簽署的服務器證書。
過期后，對此類故障服務器的所有 API 請求都將因 SSL 錯誤?失敗，瀏覽器訪問最終可能會出現“您的連接不是私有”或“潛在安全風
險”等安全警告。這?先屬于? 標服務器管理員的范圍，以便始終使?有效的證書鏈設置服務器，并通知其?戶。通知后，集成管理員
應將新的根 CA 導?到云集成租戶的密鑰庫，因為只有? 標服務器管理員才能知道新的根 CA。
是否可以簡單地續訂證書?不是替換證書？
?法執?此操作。由于 Digicert 收購了 Cybertrust 根證書頒發機構，巴爾的摩 CyberTrust Root 證書的使?期限有限，并且該證書不
會延長到 2025 年 5 ? 12 ? 。因此， ?法“續訂”此證書，并且由此證書頒發機構簽名的客戶端證書將不再適?于使?基于客戶端證書
的驗證的任何場景中的驗證調?。
的驗證的任何場景中的驗證調?。

常見問題

1. 問：如果不采取?動，會有什么影響？
答：您的集成場景可能會中斷。
由于巴爾的摩 CyberTrust Root 證書已接近有效期,并不是 DigiCert 的建議者。
2. 問：我需要 SAP 來執?所有檢查/提供分步指導/與我?起執?此操作/檢查我的配置。
答：這是?項收費服務，不能由?持渠道履?。
請聯系您的 CEE/CSP/客戶主管，為您分配專業服務。
請參閱 SAP KBA 2671448 – 如何找到我們的 SAP CSM 或 CEE 聯系? – SAP for Me
3. Q：此證書在我的 S4 / S4HC / SF / Ariba / C4C / … 中存在，并且即將過期。我應該做什么？
答：這不屬于 SAP Cloud Integration 和本?的范圍。
作為類參考，您可以查看 SAP Note 3053848 – SAP 云產品和組件區域的? 錄（聯系對象）
云集成/LOD-HCI-PI* 不是常規證書主題的分類組件。
在此組件下錯誤創建的消息將為 1) 設置為最低優先級 2) 未回復。
4. 問：此電?郵件的? 標是誰？
答：業務經理和集成管理員應了解對集成場景的潛在影響。
5. 問：這種變化為什么發?？
答： Baltimore CyberTrust 根證書將于 2025 年 5 ? 12 ? 到期，并且 DigiCert 不會延長其壽命。
6. 問： SAP 請擴展此證書。
答： Baltimore CyberTrust Root 證書是 DigiCert 提供的產品，其中 SAP ?權對此根證書進?操作。
7. 問：為什么在 CPI 中使? Baltimore CyberTrust 根證書？
答： SAP BTP 信任流?的根 CA 證書列表。 Baltimore CyberTrust 根證書是其中之?。
8. Q：在 CPI 密鑰庫中， Baltimore CyberTrust 根證書顯?為“由 SAP 創建”， ?法移除。 SAP 不擁有此證書？我們應該怎么做？
A：編號Baltimore CyberTrust Root Certificate 是 DigiCert 提供的產品。

SAP BTP 信任流?的根 CA 證書列表，包括當前過期的 Baltimore CyberTrust 根證書，因此 SAP 在默認之前已向 CPI
密鑰庫導?。此 IMPORT 操作在 CPI 密鑰庫中標記為“由 SAP 創建”。

客戶?需對此即將到期的根證書本?執?任何操作。按照本?的解決?案部分操作，檢查集成場景是否可能會受到影響。
9. 問：我在 STRUST/PSE 中看到相同的證書。我應該做什么？
答：這不屬于 CPI 的范圍，因為 CPI 從未要求任何客戶在 STRUST 中導? Baltimore CyberTrust 證書。 S4 系統管理員應了解更多詳細信息。
10. 問：我們什么時候需要采取?動？
答： 2025 年 5 ? 之前，盡快完成。
11. 問：我應該為 CSR 請求哪個根 CA？
答： SAP 對此沒有偏好。 SAP Note 中提及的任何根 CA 都應有效： 2801396 – SAP 全局信任列表，以下除外：
（請勿使?） Baltimore CyberTrust Root（由本 SAP KBA 尋址）
（請勿使?） Starfield Class 2 證書頒發機構（如 SAP KBA 3587385 – 2025：即將更改云集成負載平衡器受信任證書）
（請勿使?）認證 CA
（請勿使?） GlobalSign 根 CA
（請勿使?） Daddy 第 2 類認證機構
12. 問：如何獲得與 CPI 相關的變更通知？
答： SAP 會不時發送有關您的 CPI 服務更新的? 動電?郵件。最終?戶必須訂閱以接收這些電?郵件。有關所涉及步驟的更多詳細信息，請參閱以下資源：
1. SAP KBA 2900069 – S ?戶如何管理? ?的云通知訂閱 – SAP for Me
2. SAP KBA 2765458 – 云集成 – 可?性和通知
13. 問：誰應該訂閱? 動電?郵件？
答：這是每位客戶決定的問題。當然，應訂閱管理員。最終?戶/開發?員也可以從中受益。業務主管還應了解重?變更，以確保進?充分的計劃和測試。