SAP Ariba TLS Update information

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Обновление выпуска KB0840650

Информация об обновлении TLS SAP Ariba

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Симптом

24 января 2025 года произойдет изменение приложений SAP Ariba и поддерживаемых SAP Business Network соединений с набором шифров. Проверьте следующее, так как это изменение может повлиять на ваши соединения с нашими решениями.

ЧТО ПРОИЗОЙДЕТ

24 января 2025 года приложения SAP Ariba и SAP Business Network будут:

Активируйте поддержку соединений TLS 1.3.
Прекратить поддержку соединений TLS 1.2 со слабым шифрованием.
Продолжайте поддерживать соединения TLS 1.2 с надежным шифрованием для входящей и исходящей коммуникации.
Не принимает запросы на исправление ошибок или улучшение, связанные со слабыми наборами шифров TLS 1.2.

Следующие слабые наборы шифров TLS 1.2 не будут поддерживаться после 24 января и приведут к сбоям соединения:

- Примеры наборов шифров на основе CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Примеры наборов шифров на основе SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Примеры наборов шифров на основе обмена ключами RSA:
  - TLS_RSA_WITH_AES_256_GM_SHA384
  - TLS_RSA_WITH_AES_128_GM_SHA256

Среда

SAP NetWeaver 7.5

Описание ситуации

ЧТО ТАКОЕ ВЛИЯНИЕ

Начиная с 24 января 2025 года, если TLS 1.3 не активирован, произойдет следующее.

Для систем, использующих только слабые наборы шифров TLS 1.2:
- Рукопожатия TLS не будут выполнены.
- Защищенные соединения не будут установлены.
- Доступ ко всем приложениям и сети будет недоступен.
- Все функции, деблокированные ранее или в будущем, не будут работать или будут доступны.
Для систем, в которых активированы как слабые, так и надежные наборы шифров TLS 1.2:
- Рукопожатия TLS будут автоматически использовать соединения TLS 1.2 с надежным шифрованием.
- Сейчас рекомендуется перейти на надежный TLS 1.3 и немедленно удалить слабый TLS 1.2.

Причина

SAP Ariba и SAP Business Network стремятся защитить безопасность клиентов и их поставщиков. SAP Ariba и SAP Business Network внесут некоторые обязательные изменения, чтобы обеспечить использование более мощных криптографических алгоритмов, расширенных механизмов безопасности и лучшей защиты от известных уязвимостей.

Расширение

Если вы еще не сделали этого, как можно скорее перейдите к надежным наборам шифров TLS 1.2 (перечисленным ниже) для повышения безопасности. Кроме того, настоятельно рекомендуется активировать протокол TLS 1.3, который является текущим протоколом, обеспечивающим максимальную безопасность соединений. Чтобы обеспечить совместимость и поддержку, выполните следующие действия до 24 января 2025 года.

Активировать наборы шифров TLS 1.3
Чтобы повысить безопасность приложений SAP Ariba и соединений SAP Business Network, настоятельно рекомендуется активировать TLS 1.3, который будет поддерживаться с 24 января. Ожидается, что поддержка TLS 1.3 не будет разрушительной или несовместимой с вашими приложениями SAP Ariba и SAP Business Network.
Рекомендуется использовать хотя бы один из следующих наборов шифров TLS 1.3:
- TLS_AES_256_GM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GM_SHA256
  
  После активации наборов шифров TLS 1.3 рукопожатия TLS из существующего TLS 1.2 (с использованием слабых или надежных наборов шифров TLS 1.2) будут автоматически переключаться на TLS 1.3 24 января. Если доступны и TLS 1.2, и TLS 1.3, соединения будут по умолчанию использовать первый поддерживаемый активированный набор шифров.
Активировать надежные наборы шифров TLS 1.2
В дополнение к активации наборов шифров TLS 1.3 до 24 января настоятельно рекомендуется активировать надежные наборы шифров TLS 1.2 для более безопасного соединения.

Примеры надежных наборов шифров TLS 1.2:
- TLS_ECDHE_RSA_WITH_AES_256_GM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GM_SHA384

Вопросы и ответы

В целом, если версия подключаемого программного обеспечения относительно актуальна, то, скорее всего, это не повлияет. Если программное обеспечение для подключения довольно старое, то необходимо проверить, есть ли у вас совместимость на месте.

Если вы подключаетесь напрямую к NetWeaver ABAP или S/4HANA (промежуточное ПО не используется), мне нужно внести какие-либо изменения?
A: Убедитесь, что реализованы дополнительные рекомендации по параметрам из раздела 7 SAP-ноты 510007 "Дополнительные рекомендации по настройке SSL на сервере приложений ABAP".
Чтобы ограничить TLS1.2, см. SAP-ноту 2384290 "Обновление SapSSL" для упрощения конфигураций только TLSv1.2, TLSext SNI для клиентов 721+722 -> "Значения параметров профиля для ограничения версий протокола строгими TLSv1.2"
Мы используем SAP Process Integration (PI) или SAP Process Orchestration (PO) в качестве промежуточного ПО. Нужно ли предпринимать какие-либо действия в связи с этим изменением?
A: Да. Необходимо убедиться, что в системе активирован один или все вышеуказанные надежные наборы шифров TLS 1.2.
1. Система должна иметь версию программного обеспечения или выше согласно SAP-ноте 2284059 "Обновление библиотеки SSL на сервере NW Java (для шифров DHE)" или версии программного обеспечения или выше согласно SAP-ноте 2708581 "Поддержка ECC для исходящих соединений в SAP NW AS Java (для шифров ECDHE)" И
2. Файл SSLContext.properties необходимо обновить вручную, чтобы обеспечить поддержку перечисленных выше шифров TLS 1.2 с надежным шифром.
Как обеспечить включение в NetWeaver одного или всех вышеуказанных надежных наборов шифров TLS 1.2?
1. Обновите файл SSLContext.properties в соответствии с примером профиля 3 из SAP-ноты 2708581. Это обеспечит максимальный уровень интероперабельности на стороне PI/PO NetWeaver.
2. Инструкции по ведению файла SSLContext.properties доступны в KBA 2569156 Как создать, изменить и проверить файл SSLContext.properties.
Можно ли активировать TLS 1.3 в SAP NetWeaver 7.50?
A: Для исходящих соединений (адаптер получателя заказа на поставку -> SAP Ariba) нет, TLS 1.3 не поддерживается в NetWeaver 7.5 или ниже для исходящих соединений.
Для входящих соединений (SAP Ariba -> адаптер отправителя заказа на поставку) да, TLS 1.3 поддерживается в NetWeaver 7.5 для входящих соединений с SAP-нотой 3318423 Поддерживается TLS 1.3 ядром SAP для Netweaver AS ABAP (то же самое применимо для AS Java).
Мы используем SAP Integration Suite или SAP Cloud Process Integration (CPI) в качестве промежуточного ПО. Нужно ли предпринимать какие-либо действия в связи с этим изменением?
О: Нет. Эти возможности уже существуют в SAP Integration Suite, и действия там не требуются.
Необходимо ли обеспечить доступность всех шифров?
A: Нет, только 1 общий шифр с обеих сторон соединения необходим для обеспечения работы соединения.

См. такье

KBA 2708581 - поддержка ECC для исходящих соединений в SAP NW AS Java

Применимо к

Procurement Application Services