SAP Ariba TLS Update information

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Versionsaktualisierung KB0840650

SAP-Ariba-TLS-Aktualisierungsinformationen

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Symptom

Am 24. Januar 2025 wird es eine Änderung an den von SAP-Ariba-Anwendungen und SAP Business Network unterstützten Cipher-Suite-Verbindungen geben. Bitte überprüfen Sie Folgendes, da sich diese Änderung auf Ihre Verbindungen zu unseren Lösungen auswirken kann.

WAS WIRD HAPPEN?

Am 24. Januar 2025 werden SAP-Ariba-Anwendungen und SAP Business Network:

Aktivieren Sie die Unterstützung für TLS-1.3-Verbindungen.
Beenden Sie den Support für schwache TLS-1.2-Verbindungen.
Unterstützen Sie weiterhin starke TLS-1.2-Verbindungen für die eingehende und ausgehende Kommunikation.
Akzeptiert keine Bugfixes oder Erweiterungsanforderungen, die mit schwachen TLS-1.2-Cipher-Suites verknüpft sind.

Die folgenden schwachen TLS-1.2-Cipher-Suites werden nach dem 24. Januar nicht mehr unterstützt und führen zu Verbindungsfehlern:

- CBC-basierte Cipher-Suite-Beispiele:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- SHA1-basierte Cipher-Suite-Beispiele:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Beispiele für Cipher Suite, die auf RSA Key Exchange basieren:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Umgebung

SAP NetWeaver 7.5

Reproduktion des Problems

WAS SIND DIE IMPAKTE?

Ab dem 24. Januar 2025 geschieht Folgendes, wenn TLS 1.3 nicht aktiviert ist.

Für Systeme, die nur schwache TLS-1.2-Cipher-Suites verwenden:
- TLS-Handshakes schlagen fehl.
- Gesicherte Verbindungen werden nicht hergestellt.
- Der gesamte Zugriff auf Anwendungen und Netzwerke ist nicht verfügbar.
- Alle Funktionen, die zuvor oder in Zukunft freigegeben wurden, funktionieren nicht oder sind nicht verfügbar.
Für Systeme, bei denen sowohl schwache als auch starke TLS-1.2-Cipher-Suites aktiviert sind:
- TLS-Handshakes verwenden automatisch die starken TLS-1.2-Verbindungen.
- Wir empfehlen Ihnen, jetzt zu starkem TLS 1.3 zu wechseln und schwache TLS 1.2 sofort zu entfernen.

Ursache

SAP Ariba und SAP Business Network haben sich zum Ziel gesetzt, die Sicherheit der Kunden und ihrer Lieferanten zu schützen. SAP Ariba und SAP Business Network implementieren einige obligatorische Änderungen, um die Verwendung stärkerer kryptografischer Algorithmen, erweiterter Sicherheitsmechanismen und einen besseren Schutz vor bekannten Schwachstellen sicherzustellen.

Lösung

Falls noch nicht geschehen, wechseln Sie so bald wie möglich zu den starken TLS-1.2-Cipher-Suites (siehe unten), um die Sicherheit zu verbessern. Darüber hinaus empfehlen wir dringend, TLS 1.3 zu aktivieren, bei dem es sich um das aktuelle Protokoll handelt, das Verbindungen mit maximaler Sicherheit bereitstellt. Um Kompatibilität und Unterstützung sicherzustellen, führen Sie die folgenden Aktionen vor dem 24. Januar 2025 aus.

TLS-1.3-Cipher-Suites aktivieren
Um die Sicherheit Ihrer SAP-Ariba-Anwendungen und SAP-Business-Network-Verbindungen zu maximieren, empfehlen wir dringend, TLS 1.3 zu aktivieren, das ab dem 24. Januar unterstützt wird. Es wird nicht erwartet, dass die Unterstützung für TLS 1.3 störend oder inkompatibel mit Ihren SAP-Ariba-Anwendungen und SAP Business Network ist.
Wir empfehlen, mindestens eine der folgenden TLS-1.3-Cipher-Suites zu verwenden:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Nach der Aktivierung von TLS-1.3-Cipher-Suites wechseln TLS-Handshakes von vorhandenen TLS 1.2 (unter Verwendung schwacher oder starker TLS-1.2-Cipher-Suites) am 24. Januar automatisch zu TLS 1.3. Wenn sowohl starke TLS 1.2 als auch TLS 1.3 verfügbar sind, wird für die Verbindungen standardmäßig die erste unterstützte Cipher Suite aktiviert.
Starke TLS-1.2-Cipher-Suites aktivieren
Zusätzlich zur Aktivierung von TLS-1.3-Cipher-Suites vor dem 24. Januar empfehlen wir dringend, starke TLS-1.2-Cipher-Suites jetzt für eine sicherere Verbindung zu aktivieren.

Beispiele für starke TLS-1.2-Cipher-Suites:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

FAQ

Wenn die Version der verbindenden Software im Allgemeinen relativ aktuell ist, hat dies wahrscheinlich keine Auswirkungen. Wenn Ihre Verbindungssoftware ziemlich alt ist, müssen Sie überprüfen, ob Sie über Interoperabilität verfügen.

Wenn Sie eine direkte Verbindung zu SAP NetWeaver ABAP oder SAP S/4HANA herstellen (ohne Middleware), muss ich Änderungen vornehmen?
A: Stellen Sie sicher, dass Parameterempfehlungen aus Abschnitt 7 von SAP-Hinweis 510007 vorhanden sind. Zusätzliche Überlegungen zum Einrichten von SSL auf dem Application Server ABAP sind vorhanden.
Informationen zur Einschränkung auf TLS1.2 finden Sie im SAP-Hinweis 2384290 SapSSL-Aktualisierung, um reine TLSv1.2-Konfigurationen zu ermöglichen, TLSext SNI für 721+722-Clients -> "Profilparameterwerte zur Beschränkung von Protokollversionen auf strikte TLSv1.2-only".
Wir verwenden SAP Process Integration (PI) oder SAP Process Orchestration (PO) als Middleware. Müssen wir in Bezug auf diese Änderung Maßnahmen ergreifen?
A: Ja. Sie müssen sicherstellen, dass eine oder alle der oben genannten starken TLS-1.2-Cipher-Suites in Ihrem System aktiviert sind.
1. Das System muss über die Softwareversion oder höher gemäß SAP-Hinweis 2284059 (Aktualisierung der SSL-Bibliothek im SAP-NetWeaver-Java-Server (für DHE-Verschlüsselungen) oder Softwareversion oder höher gemäß SAP-Hinweis 2708581 - ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java (für ECDHE-Verschlüsselungen) verfügen UND
2. Die Datei SSLContext.properties muss manuell aktualisiert werden, um die Unterstützung für die oben aufgeführten starken TLS-1.2-Verschlüsselungen zu aktivieren.
Die Softwareversionen sind vorhanden. Wie stellen wir sicher, dass eine oder alle der oben genannten starken TLS-1.2-Cipher-Suites in SAP NetWeaver aktiviert sind?
1. Aktualisieren Sie die Datei SSLContext.properties gemäß Beispielprofil 3 aus dem SAP-Hinweis 2708581. Dadurch wird sichergestellt, dass die maximale Interoperabilität auf PI-/PO-NetWeaver-Seite aktiviert ist.
2. Anweisungen zum Pflegen der Datei SSLContext.properties finden Sie im Wissensdatenbankartikel 2569156 How to create, modify and validation SSLContext.properties file.
Kann TLS 1.3 in SAP NetWeaver 7.50 aktiviert werden?
A: Für ausgehende Verbindungen (PO-Empfänger-Adapter -> SAP Ariba) wird TLS 1.3 in NetWeaver 7.5 oder niedriger für ausgehende Verbindungen nicht unterstützt.
Für eingehende Verbindungen (SAP Ariba -> PO-Sender-Adapter) wird TLS 1.3 in SAP NetWeaver 7.5 für eingehende Verbindungen mit dem SAP-Hinweis 3318423 Is TLS 1.3 Supported by SAP Kernel for Netweaver AS ABAP unterstützt (dies gilt für AS Java).
Wir verwenden SAP Integration Suite oder SAP Cloud Process Integration (CPI) als Middleware. Müssen wir Maßnahmen in Bezug auf diese Änderung ergreifen?
A: Nein. Diese Funktionen sind bereits in SAP Integration Suite vorhanden, und es sind dort keine Aktionen erforderlich.
Muss sichergestellt werden, dass alle Verschlüsselungen verfügbar sind?
A: Nein, nur eine gemeinsame Verschlüsselung auf beiden Seiten der Verbindung ist erforderlich, um sicherzustellen, dass die Verbindung funktioniert.

Siehe auch

Wissensdatenbankartikel 2708581 - ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java

Gilt für

Procurement-Anwendungsservices