 |
| ||||||||
Después de la actividad de refuerzo de suites de cifrado TLS 1.2 de Managed Gateway for Spend&Network, todos mis mensajes salientes de SAP Process Integration/Process Orchestration (PI/PO) enviados a Ariba SAP Integration Suite, gateway gestionado para la gestión de gastos y SAP Business Network (CIG) fallan con el siguiente error de establecimiento de comunicación SSL:
SSLExcepción durante el establecimiento de comunicación: Alerta enviada por el compañero: Alerta fatal: fallo de establecimiento de comunicación
1. Como parte del refuerzo de la suite de cifrado TLS 1.2 de SAP Integration Suite, el gateway gestionado para la gestión de gastos y SAP Business Network eliminará los siguientes cifrados para SAP Integration Suite, gateway gestionado para la gestión de gastos y SAP Business Network. Se han eliminado por no apoyar Perfect Forward Secrecy (PFS) y ya no se ofrecerán durante el establecimiento de comunicación TLS. Si alguno de sus clientes externos sigue utilizando cualquiera de las siguientes suites de cifrado obsoletas para establecer el establecimiento de comunicación SSL, no podrá comunicarse con SAP Integration Suite, gateway gestionado para la gestión de gastos y SAP Business Network. Como resultado, las transacciones fallarán con errores de establecimiento de comunicación SSL.
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
2. Según la arquitectura del servidor cliente, el cliente presenta una lista de cifrados y el servidor selecciona el cifrado admitido y se establece el establecimiento de comunicación SSL. Si su cliente de SAP PI no envía al menos uno de los cifrados admitidos por SAP Integration Suite, gateway gestionado para la gestión de gastos y SAP Business Network durante el establecimiento de comunicación TLS con SAP Integration Suite, gateway gestionado para la gestión de gastos y el servidor de SAP Business Network, se produce un error de establecimiento de comunicación SSL.
Asegúrese de que la biblioteca IAIK Java de su versión de SAP PI (SAP NetWeaver para AS Java) admita cualquiera de los siguientes cifrados (es decir, ECDHE o DHE) para establecer un establecimiento de comunicación SSL correcto con las URL de host de Managed Gateway for Spend&Network. En función del centro de datos de Managed Gateway for Spend&Network al que se conecte, esta URL cambiará.
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Es posible que los cifrados ECDHE o DHE anteriores no estén activados por defecto en todos los sistemas SAP PI y dependan de su versión específica de SAP PI. Consulte KBA ¿Cómo compruebo la lista de suites de cifrado habilitadas en mi tiempo de ejecución SAP PI AS Java? para los pasos para verificar la lista de cifrados habilitados en su sistema SAP PI en tiempo de ejecución.
Consulte los siguientes pasos para obtener orientación de alto nivel para saber cómo habilitar los cifrados ECHDE o DHE en su sistema SAP PI:
- Para obtener información sobre el soporte de los cifrados TLS_ECDHE enumerados anteriormente en su versión de SAP PI, consulte a continuación:
1. Si solo se deben utilizar cifrados TLS_ECDHE en su SAP PI, las únicas opciones son las descritas en SAP KBA 2538934 - La toma de contacto falla en PI al conectarse a un servidor que solo admite cifrados TLS_ECDHE.
2. Para habilitar los cifrados ECDHE, su sistema SAP PI debe estar en una versión en la que se pueda implementar la nota SAP 2708581 - Soporte ECC para conexiones de salida en SAP NW AS Java. Esta nota solo está disponible para NetWeaver AS Java release 7.50 Support Package 08 o superior.
3. Si su sistema SAP PI está en una versión anterior a la indicada anteriormente, por ejemplo, SAP PI 7.50 SP07, etc., no admite cifrados ECDHE. En este caso, no active ECDHE mediante SSLContext.properties o provocará problemas que afecten a todas sus integraciones. - Si su versión de SAP PI no admite los cifrados ECDHE enumerados, puede activar los cifrados DHE que aún forman parte de la lista admitida anterior de SAP Integration Suite, gateway gestionado para la gestión de gastos y el punto final de SAP Business Network. Para obtener información sobre el soporte de cifrados DHE en su versión de SAP PI, consulte a continuación:
1. Para habilitar los cifrados DHE, puede seguir SAP KBA 2569156 - Cómo crear, modificar y validar archivos SSLContext.properties, esto se aplica a los entornos SAP NetWeaver para AS Java 7.1X/7.2/7.3X/7.4/7.5 SAP PI.
2. Tenga en cuenta que si no hay ninguna entrada de Cipher Suite presente en el archivo SSLContext.properties, significa que se utilizan las predeterminadas enumeradas en la nota SAP 2284059 - Actualización de la biblioteca SSL dentro del servidor NW Java "Las suites de cifrado se admiten en la parte de configuración predeterminada".
3. Si desea utilizar otra configuración de suite de cifrado que no sea la predeterminada, consulte la parte "Modificar la lista de suites de cifrado admitidas" de la nota SAP 2284059 - Actualización de la biblioteca SSL dentro del servidor NW Java y el KBA 2616983 - Cómo personalizar suites de cifrado en el archivo SSLContext.properties con el parámetro cipherSuite=<nombre de la suite de cifrado>.
4. Tenga en cuenta que solo una de estas líneas desactiva todos los cifrados predeterminados y deben enumerarse explícitamente si aún desea utilizar los cifrados predeterminados cuando haya configurado este parámetro. - SSLContext.properties está cargado por el sistema cuando se inicia su AS Java, por lo que cualquier modificación en este archivo requiere un reinicio del sistema para que las modificaciones estén disponibles en su sistema. Por lo tanto, uno o más de los pasos anteriores pueden requerir el reinicio de SAP PI, así que planifique según corresponda.
- No hay ninguna solución alternativa a ninguno de estos pasos y debe asegurarse de que su SAP PI sea compatible con al menos uno de los cifrados admitidos enumerados en SAP Integration Suite, gateway gestionado para la gestión de gastos y el punto final de SAP Business Network para realizar transacciones correctamente.
- Póngase en contacto con sus equipos internos de seguridad/base de SAP PI para obtener más detalles sobre la validación de si su versión de SAP PI es compatible con cualquiera de los cifrados admitidos enumerados anteriormente de SAP Integration Suite, gateway gestionado para la gestión de gastos y SAP Business Network, e implemente los cambios que se ajusten a su versión de PI según corresponda.
- Si sus equipos de seguridad/base de SAP PI necesitan más explicaciones sobre cómo implementar las modificaciones en su sistema SAP PI o tienen preguntas sobre qué es relevante para su escenario incluso después de leer anteriormente, registre un incidente OSS de SAP PI en el componente BC-JAS-SEC-CPG (SAP Netweaver AS Java) o BC-XI-CON-AFW-SEC (seguridad), ya que se trata de una configuración de base/seguridad de SAP PI pura. Los pasos sobre cómo crear un incidente SAP OSS se detallan en FAQ ¿Cómo puedo crear un incidente SAP OSS?
- Para obtener más información, consulte los siguientes KBA de SAP:
1. SAP KBA Habilitar políticas ilimitadas de JCE según 1240081 - Archivos de políticas de jurisdicción de Java Cryptography Extension (JCE). 256 suites de cifrado solo están disponibles con esta opción.
2. 2284059 - Actualización de la biblioteca SSL dentro del servidor NW Java
3. 2604240 - Fallo de establecimiento de comunicación TLS debido a la falta de extensión SNI
SAP Integration Suite, gateway gestionado > Gateway gestionado para Business Network
SAP Integration Suite, gateway gestionado > Gateway gestionado para Business Network SCC > Gateway gestionado para Business Network SCC de comprador
SAP Integration Suite, gateway gestionado > Gateway gestionado para la integración de la determinación de fuente de aprovisionamiento