你好耶兰

看看此博客文章： https://blogs.sap.com/2017/06/22/how-to-guide-principal-propagation-in-an-https-scenario /

您可以使用自签名证书作为系统证书，并根据需要重复使用与UI证书相同的证书。

对于主体传播，使用的证书将是CA证书，并且您需要确保启用SCC与后端系统之间的信任（如博客文章中所述）。

由于您的系统没有CERTRULE事务，因此您需要执行手动映射，因此可以使用EXTID_DN事务将条目添加到VUSREXTID。

让我知道你的进步。

奥古斯托（Augusto）

奥古斯托（Hi Augusto）。

我们根据您向我指示的博客进行了调整，并且效果很好。

非常感谢。

UI证书对"主体传播"设置没有影响。 但是您应该用与Cloud Connector的FQDN匹配的有效证书替换它，以避免浏览器警告。

在您的说明的第2步中我缺少的是需要设置为信任系统证书的配置文件参数。 我建议您使用基于规则的证书映射，而不是使用VUSREXTID 。

格雷戈尔感谢您的回答。 我理解您的意思，但是如果我没有验证证书，如何在系统证书中重用UI证书，这可能是我的问题，对于这个问题。

在基于规则的证书映射步骤中，我无法使用它，因为后端版本不可用。

谢谢

如果您的版本不允许基于规则的映射，则无需执行云连接器配置的步骤e和f。 这将完全没有影响，也不需要生成短期证书，只需确保您没有将其加载到STRUST中即可，因为这不是必需的。

我实际上已经开始首先对UI证书进行签名，然后将该证书用作系统证书-然后将其加载到后端系统中。 在最近的安装中，这对我来说效果很好。 您必须确保ICM参数与系统证书颁发者完全匹配-甚至额外的空格也可能导致证书不受信任。 我在此表中总结的ICM参数。 正如 Gregor Wolf 所述，基于规则的证书映射是理想的选择，但是我始终确保外部ID映射（事务EXTID_DN）能够成功运行 在执行此步骤之前，正如您所说，您只能在更高版本的SAP ERP上使用基于规则的证书映射。

另一个重要步骤是确保CA证书具有正确的属性。 它需要包含KeyCertsign属性。

最后，只需确保您要在Cloud Connector中执行主体传播设置的同步。 您需要同步使用的AD，并且还需要同步其他服务（调度程序）（如果您使用的是OData供应等），因此也请进行此检查。

谢谢

菲尔·库利