릴리스 갱신 KB0840650
전자우편
SAP Ariba TLS 업데이트 정보
이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.
증상

2025년 1월 24일에 SAP Ariba 어플리케이션 및 SAP Business Network 지원 암호화 스위트 연결이 변경될 예정입니다. 이 변경이 SAP 솔루션과의 연결에 영향을 미칠 수 있으므로 다음 사항을 검토하십시오.

변경사항

2025년 1월 24일, SAP Ariba 어플리케이션과 SAP Business Network는

다음과 같은 취약한 TLS 1.2 암호화 스위트는 1월 24일 이후에는 지원되지 않으며 연결 실패가 발생합니다.


환경

SAP NetWeaver 7.5


문제 재현

영향

2025년 1월 24일부터 TLS 1.3이 활성화되지 않은 경우 다음과 같은 상황이 발생합니다.


원인

SAP Ariba와 SAP Business Network는 고객과 공급업체의 보안을 보호하기 위해 최선을 다하고 있습니다. SAP Ariba와 SAP Business Network는 더 강력한 암호화 알고리즘 사용, 향상된 보안 메커니즘, 알려진 취약점으로부터 더 나은 보호를 보장하기 위해 몇 가지 필수 변경을 구현할 예정입니다.


해결

아직 전환하지 않았다면 보안 향상을 위해 가능한 한 빨리 강력한 TLS 1.2 암호화 스위트(아래 나열됨)로 이동하십시오. 또한 최대 보안 연결을 제공하는 현재 프로토콜인 TLS 1.3을 활성화하는 것이 좋습니다. 호환성과 지원을 보장하려면 2025년 1월 24일 이전에 다음 작업을 수행하십시오.

  1. TLS 1.3 암호화 스위트 사용
    SAP Ariba 어플리케이션 및 SAP Business Network 연결의 보안을 극대화하려면 1월 24일부터 지원되는 TLS 1.3을 활성화하는 것이 좋습니다. TLS 1.3 지원은 SAP Ariba 응용프로그램 및 SAP Business Network와 중단되거나 호환되지 않을 것으로 예상됩니다.
    다음 TLS 1.3 암호화 스위트 중 하나 이상을 사용하는 것이 좋습니다.
    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_GCM_SHA256

      TLS 1.3 암호화 스위트를 활성화한 후 기존 TLS 1.2(취약한 또는 강력한 TLS 1.2 암호화 스위트 사용)의 TLS 핸드셰이크는 1월 24일에 자동으로 TLS 1.3으로 전환됩니다. 강력한 TLS 1.2와 TLS 1.3을 모두 사용할 수 있는 경우 연결은 기본적으로 활성화된 첫 번째 지원 암호화 스위트로 설정됩니다.

  2. 강력한 TLS 1.2 암호화 스위트 사용
    1월 24일 이전에 TLS 1.3 암호화 스위트를 활성화하는 것 외에도 보다 안전한 연결을 위해 지금 바로 강력한 TLS 1.2 암호화 스위트를 활성화하는 것이 좋습니다.

    강력한 TLS 1.2 암호화 스위트의 예:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    FAQ

    일반적으로 연결 소프트웨어 버전이 비교적 최신 버전이면 영향을 받지 않을 수 있습니다. 연결 소프트웨어가 상당히 오래된 경우 상호 운용성이 있는지 확인해야 합니다.

    1. NetWeaver ABAP 또는 S/4HANA(미들웨어와 관련 없음)에 직접 연결하는 경우 변경해야 합니까?
      A: SAP Note 510007 섹션 7의 매개변수 권장사항 Application Server ABAP에서 SSL 설정에 대한 추가 고려사항이 적용되었는지 확인합니다.
      TLS1.2로 제한하려면 SAP Note 2384290 SapSSL update를 참조하여 TLSv1.2 전용 구성, TLSext SNI for 721+722 클라이언트 -> "프로토콜 버전을 엄격한 TLSv1.2로만 제한하기 위한 프로파일 매개변수 값"을 참조하십시오.

    2. 미들웨어로 SAP Process Integration(PI) 또는 SAP Process Orchestration(PO)을 사용하고 있습니다. 이 변경에 관한 조치를 취해야 합니까?
      A: 예. 위의 강력한 TLS 1.2 암호화 스위트 중 하나 또는 전체가 시스템에서 활성화되었는지 확인해야 합니다.
      1. SAP Note 2284059 Update of SSL library in NW Java server(DHE 암호용) 또는 소프트웨어 버전 이상에 따라, SAP Note 2708581 ECC Support for Outbound Connections in SAP NW AS Java(ECDHE 암호용)
      2. SSLContext.properties 파일은 위에 나열된 강력한 TLS 1.2 암호를 지원하도록 수동으로 업데이트해야 합니다.

    3. 소프트웨어 버전이 준비되어 있습니다. 위의 강력한 TLS 1.2 암호화 스위트 중 하나 또는 전체가 NetWeaver에서 활성화되도록 하려면 어떻게 해야 합니까?
      1. SAP Note 2708581에서 예제 프로파일 3에 따라 SSLContext.properties 파일을 업데이트합니다. 이렇게 하면 PI/PO NetWeaver 측에서 최대 레벨의 상호 운용성이 활성화됩니다.
      2. SSLContext.properties 파일 유지보수에 대한 지침은 KBA 2569156 SSLContext.properties 파일의 생성, 수정 및 유효성 확인 방법을 참조하십시오.

    4. SAP NetWeaver 7.50에서 TLS 1.3을 활성화할 수 있습니까?
      A: 아웃바운드 연결(PO 수신자 어댑터 -> SAP Ariba)의 경우, 아니요, 아웃바운드 연결에서는 TLS 1.3이 NetWeaver 7.5 이하에서 지원되지 않습니다.
      인바운드 연결(SAP Ariba -> PO 발신자 어댑터)의 경우, NetWeaver 7.5에서 SAP Note 3318423을 사용한 인바운드 연결에 TLS 1.3이 지원됩니다. TLS 1.3은 Netweaver AS ABAP용 SAP 커널에서 지원됩니다(AS Java에도 동일하게 적용됨).

    5. SAP Integration Suite 또는 SAP Cloud Process Integration(CPI)을 미들웨어로 사용하고 있습니다. 이 변경에 대한 조치를 취해야 합니까?
      A: 아니요. 이러한 기능은 SAP Integration Suite에 이미 존재하므로 별도의 액션이 필요하지 않습니다.

    6. 모든 암호를 사용할 수 있는지 확인해야 합니까?
      A: 아니요, 연결이 작동하는지 확인하려면 연결 양쪽에서 공통 암호를 하나만 사용해야 합니다.

    추가 참조

    KBA 2708581 - SAP NW AS Java의 아웃바운드 연결에 대한 ECC 지원



    적용 대상

    구매 응용프로그램 서비스

    사용 약관  |  저작권  |  보안 관련 정보  |  개인 정보 보호