使用2017年6月24日发行版（2.29*）提供的新密钥库监视器，您可以自己维护密钥和证书。本博客介绍如何使用此监视器导入要连接的系统的证书，如何添加密钥以及如何从云集成租户下载证书以导入后端进行连接。

对于连接发送方或接收方系统，租户管理员需要维护不同系统、发送方、接收方和云集成租户中的密钥和证书。云集成租户中cluster 2.x中提供的新密钥库监视器现在可以用于自己执行证书管理，无需向云操作团队创建服务请求。

新的密钥库监视器将密钥和证书分为SAP拥有的条目和租户管理员拥有的条目。根据用户角色有明确的分离，SAP不允许更改租户管理员的内容，租户管理员不允许更改或删除SAP拥有的条目。

Web中的密钥库监视器

Web中的操作视图中提供监视器。在"管理安全性"部分，您可以找到密钥库磁贴，它直接通知您租户密钥库中可用的密钥和证书的数量。

在监视器的第一个版本中，您可以看到租户密钥库中包含的所有条目，此外，SAP拥有的密钥和证书是可见的，并且可以下载它们的公共部分。此外，您还可以上载外部创建的密钥库以及密钥对和证书，并下载密钥库的公共内容。过期的密钥和证书将突出显示过期日期。

对于2017年11月12日的版本，您可以通过单击别名导航到证书或密钥对的详细信息。这将打开详细信息视图。对于证书，您可以看到所选证书、指纹以及创建和更改证书的人员的详细信息。此外，对于密钥对，私人云服务器，您可以在左侧的导航窗格中看到证书链。在链的顶部，大数据治理平台，通常可以找到根CA，然后是一个或多个中间证书和密钥对：

在博客"How to setup Secure outbound HTTP Connection using Keystore monitor"（如何使用Keystore monitor设置安全出站HTTP连接）中描述了使用新监视器的客户端证书进行出站通信的示例设置。

以分隔条目在keystore中引入了特定的命名约定。因此，租户管理员不允许创建前缀为sap\的别名，此前缀和别名hcicertificate、hcicertificate1和hcimsgcertificate是为sap拥有的工件保留的。

在过去（2.29*版之前），租户管理员拥有的条目和sap拥有的条目之间没有分离。然后密钥库通常由SAP维护，通过服务请求，客户可以获得自己的证书和密钥，并将其添加到租户密钥库中。如果云集成租户中已经部署了这样一个密钥库，其中包含证书和/或密钥对，一旦密钥库条目发生更改，这些条目将自动迁移到新的密钥库监视器中。

迁移是根据上述命名约定完成的，这意味着SAP命名空间中的所有密钥和证书都将转换为SAP拥有的条目，客户无法更改这些条目。与SAP命名约定不匹配的密钥和证书将被转换为客户拥有的工件，并从现在起由客户租户管理员进行管理。

此外，在迁移过程中，三个SAP拥有的CA根证书将支持与SAP云系统（如Ariba和CRM）的通信，添加到租户密钥库。如果租户管理员检测到三个SAP CA根证书中的一个也可用作客户拥有的证书，租户管理员可以删除此重复条目。

注意：迁移之前，密钥库中的可用条目数未知，云服务器好，因此概览屏幕上的密钥库磁贴不会显示条目数。在第一次更改新密钥库监视器后，密钥库磁贴中的条目数将显示正确的条目数。

在密钥库监视器的第一个版本中，只有外部创建的密钥库才能合并到租户密钥库中。例如，对于维护外部密钥库，您可以使用云集成文档"创建X.509密钥"一章中描述的密钥库资源管理器。

要从后端添加根证书或其他私钥，您需要首先通过外部工具将它们导入密钥库，然后在密钥库中上载此密钥库通过监视器顶部的Add->Key Store action监视。将出现上载对话框，要求上载密钥库和密钥库的密码。

此外，物联网技术及应用，您还可以选择是添加条目还是替换整个密钥库。选择"添加"时，也可以选择"覆盖"以覆盖具有相同别名的条目。

注意：使用"替换"和"覆盖"选项，现有条目将被覆盖，因此请小心使用这些选项。如果别名相同，Overwrite也将用公共证书覆盖私钥对。

导入后，将显示一个确认屏幕，总结哪些条目被添加或覆盖，哪些条目无法导入，例如，因为他们使用的是SAP前缀，或者已经存在同名别名。

2018年4月15日更新时，添加了导入单个证书的选项。在keystoremonitor中，选择监视器顶部的Add->Certificate action。此时会出现一个上载对话框，要求上载证书和用于证书的别名。

随着2018年4月15日的更新，添加了导入单个密钥对的选项。在keystoremonitor中，选择监视器顶部的Add->Key Pair action。此时会出现一个上载对话框，询问要上载的密钥对和密钥对文件的别名。此外，您还需要输入密钥对的密码。