在 ABAP 里加密文档，真正难的不是加密，而是把证书链路走通

前几天翻到一篇 2014 年的 SAP 社区讨论，标题很朴素，叫「How to encrypt documents in ABAP」。看起来像是在问，ABAP 里怎么调用一个加密函数模块。可把整段讨论看完，你会发现，真正卡住很多人的，根本不是SSF_KRN_ENVELOPE这个函数本身，而是更前面的那一步，收件人证书到底从哪来，该怎么组织成 SAP 要的recipient_list。(security2341.rssing.com)这事很典型。很多人第一次接触 SAP 里的 SSF 机制，直觉都会觉得，只要我拿到一段二进制内容，再找个加密 FM 一包，不就完了。结果一上手就懵，参数里有STR_PAB、STR_PROFILE、recipient_list、str_sym_encr_alg，每个名字都像认识，又都不完全知道该怎么喂。然后最容易踩的坑就来了，你以为SSF_GET_PARAMETER能把所有东西一次性给你，实际上它给的是某个 SSF Application 的配置参数，比如 PSE 位置、Profile、算法这些，但它不会直接把你最终要塞进recipient_list的证书 Subject 帮你准备好。原帖里提问者最