リリース更新 KB0840650
電子メール
SAP Ariba TLS 更新情報
このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。
症あてに

2025 年 1 月 24 日に、SAP Ariba アプリケーションおよび SAP Business Network でサポートされる暗号スイートの接続が変更されます。この変更により、SAP ソリューションとの接続に影響が生じる可能性があるため、以下の内容を確認してください。

何が起こりますか?

2025 年 1 月 24 日に、SAP Ariba アプリケーションおよび SAP Business Network は以下を行います。

以下の弱い TLS 1.2暗号スイートは、1月24日以降はサポートされなくなり、接続エラーが発生します。


環境

SAP NetWeaver 7.5


問題の再表示方法

影響

2025 年 1 月 24 日より、TLS 1.3 が有効化されていない場合は以下が発生します。


原氏

SAP Ariba と SAP Business Network は、顧客とそのサプライヤーのセキュリティを保護するために尽力しています。SAP Ariba および SAP Business Network では、より強力な暗号化アルゴリズム、拡張されたセキュリティメカニズム、および既知の脆弱性に対する保護を強化するために、いくつか必須の変更を実装する予定です。


解決

セキュリティ向上のため、強い TLS 1.2暗号スイート(下記に記載)にできるだけ早く移行してください。さらに、最大セキュリティ接続を提供する現在のプロトコルである TLS 1.3 を有効化することを強くお奨めします。互換性を確保し、サポートを受けるために、2025 年 1 月 24 日より前に以下のアクションを実行してください。

  1. TLS 1.3 暗号スイートの有効化
    SAP Ariba アプリケーションおよび SAP Business Network 接続のセキュリティを最大化するために、1 月 24 日からサポートされる TLS 1.3 を有効化することを強くお奨めします。TLS 1.3 のサポートは、お客様の SAP Ariba アプリケーションおよび SAP Business Network との中断や互換性のないことが想定されています。
    以下の TLS 1.3 暗号スイートの少なくとも 1 つを使用することをお奨めします。
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_GCM_SHA256

      TLS 1.3 暗号スイートを有効化すると、(弱い/強い TLS 1.2 暗号スイートを使用した) 既存の TLS 1.2 からの TLS ハンドシェイクが 1 月 24 日に自動的に TLS 1.3 に切り替わります。強い TLS 1.2 と TLS 1.3 の両方が利用可能な場合、接続は、最初にサポートされている有効な暗号スイートにデフォルト設定されます。

  2. 強い TLS 1.2暗号スイートの有効化
    1 月 24 日より前に TLS 1.3 暗号スイートを有効化することに加えて、よりセキュアな接続のために、強い TLS 1.2 暗号スイートを今すぐ有効化することを強くお奨めします。

    強い TLS 1.2暗号スイートの例:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    よくある質問 (FAQ)

    通常、接続ソフトウェアバージョンが比較的最新である場合は、影響しない可能性があります。接続するソフトウェアが非常に古い場合は、相互運用性があるかどうかを確認する必要があります。

    1. NetWeaver ABAP または S/4HANA に直接接続している場合 (ミドルウェアは関係なし)、変更を行う必要がありますか。
      A: SAP ノート 510007 のセクション 7 に記載されているパラメータの推奨事項アプリケーションサーバ ABAP での SSL の設定に関する追加の考慮事項が満たされていることを確認してください。
      TLS1.2 に制限するには、SAP ノート 2384290 "SapSSL 更新" を参照して TLSv1.2 のみの設定を容易にします。721+722 クライアントの場合は TLSext -> "プロトコルバージョンを厳密な TLSv1.2-のみに制限するためのプロファイルパラメータ値" を参照してください。

    2. ミドルウェアとして SAP Process Integration (PI) または SAP Process Orchestration (PO) を使用しています。この変更に関して何らかのアクションを実行する必要がありますか。
      A: はい。上記の強い TLS 1.2暗号スイートの 1 つまたはすべてがシステムで有効化されていることを確認する必要があります。
      1. SAP ノート 2284059 "NW Java サーバ (DHE 暗号用) 内の SSL ライブラリの更新" または SAP ノート 2708581 "SAP NW AS Java での送信接続に対する ECC サポート" (ECDHE 暗号用) および
      2. 上記の強い TLS 1.2暗号のサポートを有効にするには、SSLContext.properties ファイルを手動で更新する必要があります。

    3. ソフトウェアバージョンが用意されており、NetWeaver で上記の強い TLS 1.2暗号スイートの 1 つまたはすべてを有効化するにはどうすればよいですか。
      1. SAP ノート 2708581 のサンプルプロファイル 3 に従って SSLContext.properties ファイルを更新します。これにより、PI/PO NetWeaver 側で相互運用性の最大レベルが有効化されます。
      2. SSLContext.properties ファイルの更新方法については、KBA 2569156 ファイル SSLContext.properties の作成、変更、およびチェック方法を参照してください。

    4. SAP NetWeaver 7.50 で TLS 1.3 を有効化することはできますか。
      A: 送信接続 (PO Receiver Adapter -> SAP Ariba) の場合、送信接続では TLS 1.3 が NetWeaver 7.5 以下ではサポートされていません。
      受信接続 (SAP Ariba -> PO Sender Adapter) の場合は、SAP ノート 3318423 による受信接続に対して、NetWeaver 7.5 で TLS 1.3 がサポートされています (TLS 1.3 は NetWeaver AS ABAP の SAP カーネルでサポートされています) (AS Java も同様)。

    5. ミドルウェアとして SAP Integration Suite または SAP Cloud Process Integration (CPI) を使用しています。この変更に関して何らかのアクションを実行する必要がありますか。
      A: いいえ。これらの機能は SAP Integration Suite にすでに存在し、そこで必要なアクションはありません。

    6. すべての暗号が利用可能であることを確認する必要がありますか。
      A:いいえ。接続が機能するように、接続の両側に共通の暗号が 1 つだけ必要です。

    サーバにアクセスします。

    KBA 2708581 - ECC Support for Outbound Connections in SAP NW AS Java



    該当項目

    購買アプリケーションサービス

    使用条件  |  Copyright  |  セキュリティに関する情報  |  情報の保護