在很多 SAP 项目里,真正把人绕晕的,不是参数本身,也不是证书本身,而是几个看起来很像、实际职责完全不同的名字。你在 SAP GUI 里看见一个p:CN=...,在服务器参数里也能看见一个p:CN=...,到了事务SU01的SNC页签,又能看到一个SNC name。三处都长得像 Distinguished Name,很多团队就会下意识地把它们当成同一件事,结果链路加密做成了,登录流程却乱了,甚至把许可边界也踩过去了。SAP 官方对这件事写得非常直接,SNC Client Encryption的目标是保护客户端和ABAP application server之间的安全通信,它并不是为SSO设计的,把通信用的SNC name直接填进SU01里当作登录映射,技术上虽然做得到,但属于违反许可条件的用法。真正需要SSO的场景,SAP 给出的路径是SAP Single Sign-On。(