SAP Ariba TLS Update information

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Aggiornamento di versione KB0840650

Informazioni di aggiornamento TLS SAP Ariba

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Sintomo

Il 24 gennaio 2025 verrà apportata una modifica alle connessioni con suite di cifratura supportate dalle applicazioni SAP Ariba e da SAP Business Network. Rivedere quanto segue perché questa modifica potrebbe influire sulle connessioni con le nostre soluzioni.

CHE COSA HAPPEN

Il 24 gennaio 2025, le applicazioni SAP Ariba e SAP Business Network:

Abilitare il supporto delle connessioni TLS 1.3.
Terminare il supporto per le connessioni TLS 1.2 deboli.
Continuare a supportare connessioni TLS 1.2 forti per le comunicazioni in entrata e in uscita.
Non accetterà richieste di correzione o miglioramento dei bug associate alle suite di cifratura TLS 1.2 deboli.

Le seguenti suite di cifratura TLS 1.2 deboli non saranno supportate dopo il 24 gennaio e causeranno errori di connessione:

- Esempi di suite di cifratura basate su CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Esempi di suite di cifratura basate su SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Esempi di suite di cifratura basate su Key Exchange RSA:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Ambiente

SAP NetWeaver 7.5

Riproduzione del problema

COSA SONO GLI IMPATTI

A partire dal 24 gennaio 2025, se TLS 1.3 non è abilitato, si verificherà quanto segue.

Per i sistemi che utilizzano solo suite di cifratura TLS 1.2 deboli:
- Gli handshake TLS non riusciranno.
- Le connessioni protette non saranno stabilite.
- Tutti gli accessi alle applicazioni e alla rete non saranno disponibili.
- Tutte le funzionalità, rilasciate in precedenza o in futuro, non funzioneranno o saranno disponibili.
Per i sistemi per cui sono abilitate suite di cifratura TLS 1.2 sia deboli che forti:
- Gli handshake TLS utilizzeranno automaticamente le connessioni TLS 1.2 forti.
- Si consiglia di passare ora a TLS 1.3 forte e di rimuovere immediatamente TLS 1.2 debole.

Causa

SAP Ariba e SAP Business Network si impegnano a proteggere la sicurezza dei clienti e dei loro fornitori. SAP Ariba e SAP Business Network implementeranno alcune modifiche obbligatorie per garantire un utilizzo più forte degli algoritmi crittografici, meccanismi di sicurezza migliorati e una migliore protezione dalle vulnerabilità note.

Risoluzione

Se non è già stato fatto, passare il prima possibile alle suite di cifratura TLS 1.2 forti (elencate di seguito) per una maggiore sicurezza. Inoltre, si consiglia vivamente di abilitare TLS 1.3, che è il protocollo corrente che fornisce la massima sicurezza delle connessioni. Per garantire la compatibilità e il supporto, eseguire le seguenti azioni prima del 24 gennaio 2025.

Abilita suite di cifratura TLS 1.3
Per massimizzare la sicurezza delle applicazioni SAP Ariba e delle connessioni SAP Business Network, si consiglia vivamente di abilitare TLS 1.3, che sarà supportato a partire dal 24 gennaio. Il supporto di TLS 1.3 non dovrebbe causare interruzioni o incompatibilità con le applicazioni SAP Ariba e SAP Business Network.
Si consiglia di utilizzare almeno una delle seguenti suite di cifratura TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  Dopo aver abilitato le suite di cifratura TLS 1.3, gli handshake TLS dalle suite di cifratura TLS 1.2 esistenti (che utilizzano suite di cifratura TLS 1.2 deboli o forti) passeranno automaticamente a TLS 1.3 il 24 gennaio. Se sono disponibili sia TLS 1.2 forte che TLS 1.3, le connessioni verranno impostate in modo predefinito sulla prima suite di cifratura supportata abilitata.
Abilita suite di cifratura TLS 1.2 forti
Oltre ad abilitare le suite di cifratura TLS 1.3 prima del 24 gennaio, si consiglia vivamente di abilitare ora suite di cifratura TLS 1.2 forti, per una connessione più sicura.

Esempi di suite di cifratura TLS 1.2 forti:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Domande frequenti

In generale, se la versione del software di connessione è relativamente aggiornata, è probabile che ciò non avrà impatto. Se il software di connessione è piuttosto vecchio, è necessario verificare se si dispone di interoperabilità.

Se ci si connette direttamente a NetWeaver ABAP o S/4HANA (senza middleware interessato), è necessario apportare modifiche?
A: Assicurarsi che siano presenti raccomandazioni sui parametri dalla sezione 7 della nota SAP 510007 Ulteriori considerazioni sulla configurazione di SSL nell'application server ABAP.
Per limitare l'accesso a TLS1.2, fare riferimento alla nota SAP 2384290 Aggiornamento SapSSL per semplificare le configurazioni solo TLSv1.2, TLSext SNI per i client 721+722 -> "Valori dei parametri di profilo per limitare le versioni del protocollo a TLSv1.2-only rigoroso"
SAP Process Integration (PI) o SAP Process Orchestration (PO) viene utilizzato come middleware; è necessario intraprendere azioni relative a questa modifica?
A: Sì. È necessario assicurarsi che una o tutte le suite di cifratura TLS 1.2 forti di cui sopra siano abilitate nel sistema.
1. Il sistema deve disporre della versione software o successiva in base alla nota SAP 2284059 Aggiornamento della libreria SSL all'interno del server NW Java (per le crittografie DHE) o versione software o successiva come da nota SAP 2708581 ECC Supporto per connessioni in uscita in SAP NW AS Java (per crittografie ECDHE) E
2. Il file SSLContext.properties deve essere aggiornato manualmente per abilitare il supporto delle crittografie TLS 1.2 forti elencate sopra.
Le versioni software sono in atto, come facciamo a garantire che una o tutte le suite di cifratura TLS 1.2 forti di cui sopra siano abilitate in NetWeaver?
1. Aggiornare il file SSLContext.properties in base al profilo di esempio 3 dalla nota SAP 2708581 - Ciò garantirà che il livello massimo di interoperabilità sia attivato lato PI/PO NetWeaver.
2. Le istruzioni sull'aggiornamento del file SSLContext.properties sono disponibili in KBA 2569156 Modalità di creazione, modifica e convalida del file SSLContext.properties.
È possibile abilitare TLS 1.3 in SAP NetWeaver 7.50?
A: Per le connessioni in uscita (adattatore destinatario ordine di acquisto -> SAP Ariba), no, TLS 1.3 non è supportato in NetWeaver 7.5 o versioni precedenti per le connessioni in uscita.
Per le connessioni in entrata (SAP Ariba -> Adattatore mittente ordine d'acquisto), sì, TLS 1.3 è supportato in NetWeaver 7.5 per le connessioni in entrata con la nota SAP 3318423 È TLS 1.3 supportato da SAP Kernel per Netweaver AS ABAP (lo stesso vale per AS Java).
SAP Integration Suite o SAP Cloud Process Integration (CPI) viene utilizzato come middleware; è necessario intraprendere azioni relative a questa modifica?
A: No. Queste capacità esistono già in SAP Integration Suite e non sono necessarie azioni.
È necessario garantire che tutte le crittografie siano disponibili?
R: No, solo 1 cifrario comune su entrambi i lati della connessione è necessario per garantire che la connessione funzioni.

Vedere anche

KBA 2708581 - Supporto ECC per connessioni in uscita in SAP NW AS Java

Si applica a

Servizi dell’applicazione di approvvigionamento