SAP Ariba TLS Update information

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Versionsaktualisierung KB0840650

SAP-Ariba-TLS-Aktualisierungsinformationen

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Symptom

Am 24. Januar 2025 wird es eine Änderung an den SAP-Ariba-Anwendungen und den von SAP Business Network unterstützten Cipher-Suite-Verbindungen geben. Überprüfen Sie Folgendes, da sich diese Änderung auf Ihre Verbindungen zu unseren Lösungen auswirken kann.

WAS WIRD HAPPEN?

Am 24. Januar 2025 werden SAP-Ariba-Anwendungen und SAP Business Network:

Aktivieren Sie die Unterstützung für TLS-1.3-Verbindungen.
Unterstützung für schwache TLS-1.2-Verbindungen beenden.
Unterstützen Sie weiterhin starke TLS-1.2-Verbindungen für die eingehende und ausgehende Kommunikation.
Akzeptiert keine Bugfixes oder Erweiterungsanforderungen im Zusammenhang mit schwachen TLS-1.2-Cipher-Suites.

Die folgenden schwachen TLS-1.2-Cipher-Suites werden nach dem 24. Januar nicht mehr unterstützt und führen zu Verbindungsfehlern:

- CBC-basierte Cipher-Suite-Beispiele:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- SHA1-basierte Cipher-Suite-Beispiele:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Beispiele für RSA-Key-Exchange-basierte Cipher-Suite-Beispiele:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Umgebung

SAP NetWeaver 7.5

Reproduzieren des Problems

WAS SIND DIE IMPACTS?

Ab dem 24. Januar 2025 geschieht Folgendes, wenn TLS 1.3 nicht aktiviert ist.

Für Systeme, die nur schwache TLS-1.2-Cipher-Suites verwenden:
- TLS-Handshakes schlagen fehl.
- Gesicherte Verbindungen werden nicht hergestellt.
- Alle Zugriffe auf Anwendungen und Netzwerke sind nicht verfügbar.
- Alle Funktionen, die zuvor oder in Zukunft freigegeben wurden, funktionieren nicht oder sind nicht verfügbar.
Für Systeme, in denen sowohl schwache als auch starke TLS-1.2-Cipher-Suites aktiviert sind:
- TLS-Handshakes verwenden automatisch die starken TLS-1.2-Verbindungen.
- Wir empfehlen Ihnen, jetzt auf starke TLS 1.3 zu wechseln und schwache TLS 1.2 sofort zu entfernen.

Ursache

SAP Ariba und SAP Business Network verpflichten sich, die Sicherheit der Kunden und ihrer Lieferanten zu schützen. SAP Ariba und SAP Business Network implementieren einige obligatorische Änderungen, um die Verwendung stärkerer kryptografischer Algorithmen, erweiterter Sicherheitsmechanismen und einen besseren Schutz vor bekannten Schwachstellen sicherzustellen.

Auflösung

Falls noch nicht geschehen, wechseln Sie so bald wie möglich zu den starken TLS-1.2-Cipher-Suites (siehe unten), um die Sicherheit zu verbessern. Darüber hinaus empfehlen wir dringend, TLS 1.3 zu aktivieren, bei dem es sich um das aktuelle Protokoll handelt, das maximale Sicherheitsverbindungen bereitstellt. Um Kompatibilität und Support sicherzustellen, führen Sie die folgenden Aktionen vor dem 24. Januar 2025 aus.

TLS 1.3 Cipher Suites aktivieren
Um die Sicherheit Ihrer SAP-Ariba-Anwendungen und SAP-Business-Network-Verbindungen zu maximieren, empfehlen wir dringend, TLS 1.3 zu aktivieren, das ab dem 24. Januar unterstützt wird. Es wird erwartet, dass der Support für TLS 1.3 nicht störend oder mit Ihren SAP-Ariba-Anwendungen und SAP Business Network inkompatibel ist.
Wir empfehlen, mindestens eine der folgenden TLS-1.3-Cipher-Suites zu verwenden:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Nach der Aktivierung von TLS-1.3-Cipher-Suites wechseln TLS-Handshakes aus vorhandenen TLS-1.2-Cipher-Suites (die schwache oder starke TLS-1.2-Cipher-Suites verwenden) am 24. Januar automatisch zu TLS 1.3. Wenn sowohl starke TLS 1.2 als auch TLS 1.3 verfügbar sind, wird für die Verbindungen standardmäßig die erste unterstützte Cipher Suite aktiviert.
Starke TLS-1.2-Cipher-Suites aktivieren
Zusätzlich zur Aktivierung von TLS-1.3-Cipher-Suites vor dem 24. Januar empfehlen wir dringend, jetzt starke TLS-1.2-Cipher-Suites für eine sicherere Verbindung zu aktivieren.

Beispiele für starke TLS-1.2-Cipher-Suites:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

FAQ

Wenn die Version der verbindenden Software relativ aktuell ist, ist es wahrscheinlich, dass dies keine Auswirkungen hat. Wenn Ihre Verbindungssoftware ziemlich alt ist, müssen Sie überprüfen, ob Sie über eine Interoperabilität verfügen.

Wenn Sie eine direkte Verbindung zu SAP NetWeaver ABAP oder SAP S/4HANA herstellen (keine Middleware beteiligt), muss ich Änderungen vornehmen?
A: Stellen Sie sicher, dass die Parameterempfehlungen aus Abschnitt 7 des SAP-Hinweises 510007 (Zusätzliche Überlegungen zum Einrichten von SSL auf dem Application Server ABAP) vorhanden sind.
Informationen zur Einschränkung auf TLS1.2 finden Sie im SAP-Hinweis 2384290 SapSSL-Update, um Nur-TLSv1.2-Konfigurationen zu ermöglichen, TLSext SNI für 721+722-Clients -> "Profilparameterwerte zum Einschränken von Protokollversionen auf strikte TLSv1.2-only".
Wir verwenden SAP Process Integration (PI) oder SAP Process Orchestration (PO) als Middleware. Müssen wir Maßnahmen in Bezug auf diese Änderung ergreifen?
A: Ja. Sie müssen sicherstellen, dass eine oder alle der oben genannten starken TLS-1.2-Cipher-Suites in Ihrem System aktiviert sind.
1. Das System muss die Softwareversion oder höher gemäß SAP-Hinweis 2284059 Aktualisierung der SSL-Bibliothek im NW-Java-Server (für DHE-Verschlüsselungen) oder Softwareversion oder höher gemäß SAP-Hinweis 2708581 ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java (für ECDHE-Verschlüsselungen) aufweisen UND
2. Die Datei SSLContext.properties muss manuell aktualisiert werden, um die Unterstützung für die oben aufgeführten starken TLS-1.2-Verschlüsselungen zu aktivieren.
Die Softwareversionen sind vorhanden. Wie stellen wir sicher, dass eine oder alle der oben genannten starken TLS-1.2-Cipher-Suites in SAP NetWeaver aktiviert sind?
1. Aktualisieren Sie die Datei SSLContext.properties gemäß dem Beispielprofil 3 aus dem SAP-Hinweis 2708581. Dadurch wird sichergestellt, dass die maximale Interoperabilität auf PI-/PO-NetWeaver-Seite aktiviert ist.
2. Anweisungen zum Pflegen der Datei SSLContext.properties finden Sie im Wissensdatenbankartikel 2569156 How to create, modify and validation SSLContext.properties file.
Kann TLS 1.3 in SAP NetWeaver 7.50 aktiviert werden?
A: Für ausgehende Verbindungen (PO-Empfänger-Adapter -> SAP Ariba) wird TLS 1.3 in SAP NetWeaver 7.5 oder niedriger für ausgehende Verbindungen nicht unterstützt.
Für eingehende Verbindungen (SAP Ariba -> PO-Sender-Adapter) wird TLS 1.3 in SAP NetWeaver 7.5 für eingehende Verbindungen mit dem SAP-Hinweis 3318423 Is TLS 1.3 Supported by SAP Kernel for Netweaver AS ABAP unterstützt (gilt auch für AS Java).
Wir verwenden SAP Integration Suite oder SAP Cloud Process Integration (CPI) als Middleware. Müssen wir Maßnahmen in Bezug auf diese Änderung ergreifen?
A: Nein. Diese Funktionen sind bereits in SAP Integration Suite vorhanden, und es sind keine Aktionen erforderlich.
Ist es erforderlich, sicherzustellen, dass alle Verschlüsselungen verfügbar sind?
A: Nein, nur 1 gemeinsame Verschlüsselung auf beiden Seiten der Verbindung ist erforderlich, um sicherzustellen, dass die Verbindung funktioniert.

Siehe auch

Wissensdatenbankartikel 2708581 - ECC-Unterstützung für ausgehende Verbindungen in SAP NW AS Java

Gilt für

Procurement-Anwendungsservices