リリース更新 KB0840650
電子メール
SAP Ariba TLS 更新情報
このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。
現象

2025 年 1 月 24 日に、SAP Ariba アプリケーションおよび SAP Business Network でサポートされている暗号スイート接続が変更されます。この変更が SAP のソリューションとのお客様の接続に影響を及ぼす可能性があるため、以下をご確認ください。

何が起こりますか?

2025 年 1 月 24 日に、SAP Ariba アプリケーションおよび SAP Business Network では以下が実現します。

以下の弱い TLS 1.2暗号スイートは、1月24日以降はサポートされず、接続に失敗します。


環境

SAP NetWeaver 7.5


問題の再現

影響

2025 年 1 月 24 日以降、TLS 1.3 が有効化されていない場合は以下の処理が行われます。


原因

SAP Ariba および SAP Business Network は、顧客とそのサプライヤのセキュリティを保護するために尽力しています。SAP Ariba および SAP Business Network では、より強力な暗号化アルゴリズム、拡張されたセキュリティメカニズム、および既知の脆弱性に対する保護を強化するために、いくつかの必須の変更が実装されます。


解決

セキュリティ向上のため、強い TLS 1.2暗号スイート(以下に記載)にまだ移行していない場合は、できるだけ早く移行してください。さらに、最大限のセキュリティ接続を提供する現在のプロトコルである TLS 1.3を有効化することを強くお勧めします。互換性を確保してサポートを受けるには、2025 年 1 月 24 日までに以下のアクションを実行してください。

  1. TLS 1.3 暗号スイートの有効化
    SAP Ariba アプリケーションおよび SAP Business Network 接続のセキュリティを最大化するために、1 月 24 日からサポートされる TLS 1.3 を有効化することを強くお奨めします。TLS 1.3のサポートは、SAP Ariba アプリケーションおよび SAP Business Network と混乱したり、互換性のないものとなることは想定されていません。
    以下の TLS 1.3 暗号スイートの少なくとも 1 つを使用することをお奨めします。
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_GCM_SHA256

      TLS 1.3 暗号スイートを有効化した後、既存の TLS 1.2 からの TLS ハンドシェイク (弱い TLS 1.2 または強い TLS 1.2 暗号スイートを使用) は、1 月 24 日に自動的に TLS 1.3 に切り替わります。強い TLS 1.2とTLS 1.3の両方を使用できる場合、接続のデフォルトは最初にサポートされている暗号スイートが有効になっています。

  2. 強い TLS 1.2暗号スイートの有効化
    1 月 24 日より前に TLS 1.3 暗号スイートを有効化することに加えて、よりセキュアな接続のために、強い TLS 1.2暗号スイートを有効化することを強くお勧めします。

    強い TLS 1.2暗号スイートの例:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    よくある質問 (FAQ)

    通常、接続ソフトウェアバージョンが比較的最新である場合、これは影響しない可能性があります。接続ソフトウェアが非常に古い場合は、相互運用性があるかどうかを確認する必要があります。

    1. NetWeaver ABAP または S/4HANA に直接接続している場合 (ミドルウェアは関係ありません)、変更を行う必要がありますか。
      A: SAP ノート 510007 のセクション 7 のパラメータ推奨事項を確認してください。Application Server ABAP での SSL の設定に関する追加の考慮事項があります。
      TLS1.2 に制限するには、SAP ノート 2384290 SapSSL 更新を参照して TLSv1.2 のみの設定を容易にし、721+722 クライアントに対して TLSext SNI -> "プロトコルバージョンを厳密な TLSv1.2 のみに制限するためのプロファイルパラメータ" を参照してください。

    2. ミドルウェアとして SAP Process Integration (PI) または SAP Process Orchestration (PO) を使用しています。この変更に関するアクションを実行する必要がありますか。
      A:はい。上記の強い TLS 1.2暗号スイートの 1 つまたはすべてがシステムで有効化されていることを確認する必要があります。
      1. SAP ノート 2284059 SAP ノート 2284059 "NW Java サーバ内の SSL ライブラリの更新 (DHE 暗号の場合)" またはソフトウェアバージョン以降が適用されている必要があります (SAP ノート 2708581 "SAP NW AS Java での送信接続に対する ECC サポート (ECDHE 暗号用)" 参照)
      2. 上記の強力な TLS 1.2暗号のサポートを有効にするには、SSLContext.properties ファイルを手動で更新する必要があります。

    3. ソフトウェアバージョンが導入されています。NetWeaver で上記の強い TLS 1.2暗号スイートの 1 つまたはすべてを有効化するにはどうすればよいですか。
      1. SAP ノート 2708581 のサンプルプロファイル 3 に従って SSLContext.properties ファイルを更新します。これにより、PI/PO NetWeaver 側で最大レベルの相互運用性が有効化されます。
      2. SSLContext.properties ファイルの更新手順については、KBA 2569156 ファイル SSLContext.properties の登録、変更、およびチェック方法を参照してください。

    4. SAP NetWeaver 7.50 で TLS 1.3 を有効化することはできますか。
      A: 送信接続 (PO Receiver Adapter -> SAP Ariba) の場合、いいえ。NetWeaver 7.5 以下では、送信接続に対して TLS 1.3 はサポートされていません。
      受信接続 (SAP Ariba -> PO 送信側アダプタ) の場合、NetWeaver 7.5 では、SAP ノート 3318423 "NetWeaver AS ABAP の SAP カーネルで TLS 1.3 がサポートされている" の受信接続に対して TLS 1.3 がサポートされています (AS Java にも適用できます)。

    5. SAP Integration Suite または SAP Cloud Process Integration (CPI) をミドルウェアとして使用しています。この変更に関するアクションを実行する必要がありますか。
      A: いいえ。これらの機能はすでに SAP Integration Suite に存在しており、そこで必要なアクションはありません。

    6. すべての暗号が利用可能であることを確認する必要がありますか。
      A:いいえ。接続が機能するように、接続の両側に 1 つの共通暗号のみが必要です。

    参照

    KBA 2708581 "SAP NW AS Java での送信接続に対する ECC のサポート"



    該当項目

    購買アプリケーションサービス

    使用条件  |  Copyright  |  セキュリティに関する情報  |  情報の保護