Erfolg ist das Ergebnis
aus Kompetenz, Qualität und Vertrauen.

Neues TLS-Zertifikat für DSRV-Kommunikationsserver ab Oktober 2024

14. Oktober 2024

Ab Oktober 2024 erfolgt ein wichtiger Wechsel bei den TLS-Zertifikaten, die für die HTTPS-Transportverschlüsselung im Rahmen der Kommunikation mit dem DSRV (Deutscher Sozialversicherungsträger) genutzt werden. Die Neuerungen betreffen sowohl den Test- als auch den Produktivserver und erfordern Maßnahmen zur Sicherstellung einer reibungslosen SSL/TLS-gesicherten Kommunikation.

Zeitplan für die Einführung

Ab dem 10.10.2024 wird das neue TLS-Zertifikat auf dem Testserver verwendet.

Ab dem 17.10.2024 kommt das Zertifikat auf dem Produktivserver zum Einsatz.

Was ändert sich beim Zertifikatswechsel?

Obwohl das neue TLS-Serverzertifikat eingeführt wird, bleiben das Intermediate-Zertifikat und das Root-Zertifikat unverändert. Dies bedeutet, dass das client-seitige Trust Anchor-Zertifikat, das zur Verifikation der Zertifikatskette des DSRV-Kommunikationsservers dient, weiterhin gültig ist und nicht angepasst werden muss.

Allerdings wird empfohlen, das erforderliche Root-Zertifikat (T-TeleSec GlobalRoot Class 2) als zusätzlichen Trust Anchor in die Zertifikatsliste des SSL-Clients aufzunehmen. Diese Maßnahme stellt sicher, dass bei einem serverseitigen Zertifikatswechsel keine Verbindungsprobleme aufgrund eines fehlenden Trusts entstehen.

TLS-Zertifikate und deren Funktion

TLS-Zertifikate werden im SSL-Client des SAP-Systems benötigt, um sichere HTTPS-Verbindungen zwischen dem SAP HR-System und den DSRV-Servern (itsg.eservice-drv.de und itsg.eservicet-drv.de) herzustellen. Diese Zertifikate werden von einem Trustcenter ausgestellt und basieren auf einer sogenannten Zertifikatskette. Für den erfolgreichen Verbindungsaufbau muss zumindest eines der Zertifikate aus dieser Kette im SSL-Client des SAP-Systems vorhanden sein.

Die Zertifikatskette für die DSRV-Server ist bis zum 11.10.2025 gültig.

Empfehlungen für Administratoren

  • Überprüfung der Zertifikate
    Mit dem Report RPUSVHD1 können die vorhandenen Zertifikate im SSL-Client überprüft werden. Alternativ kann dies auch über die Transaktion STRUST erfolgen, wo die Zertifikatsliste eingesehen und gegebenenfalls aktualisiert werden kann.
  • Entfernung ungültiger Zertifikate
    Über die Transaktion STRUST können abgelaufene Zertifikate aus der Zertifikatsliste entfernt werden, um potenzielle Konflikte zu vermeiden.
  • Neustart des ICM für ältere ABAP-Versionen
    Bei älteren ABAP SAP_BASIS-Versionen (700/701) ist nach der Aktualisierung der SSL-Client-Zertifikate ein Neustart des ICM über die Transaktion SMICM notwendig, damit die Änderungen wirksam werden. In neueren Versionen (ab SAP_BASIS 702) erfolgt diese Synchronisation automatisch.

Fazit

Die Aktualisierung des TLS-Zertifikats für den DSRV-Kommunikationsserver ist ein notwendiger Schritt, um die Sicherheit und Funktionalität der SSL/TLS-Verbindungen zwischen SAP-Systemen und den DSRV-Servern zu gewährleisten. Durch das frühzeitige Hinzufügen des Root-Zertifikats in die Zertifikatsliste des SSL-Clients wird sichergestellt, dass auch nach dem Zertifikatswechsel stabile Verbindungen möglich sind. Für einen reibungslosen Übergang ist es ratsam, die Zertifikatskonfigurationen vor den genannten Stichtagen zu überprüfen und anzupassen.

Weitere Informationen und die relevanten Zertifikate finden sich im Anhang des SAP-Hinweises 3525739.