SAP Ariba TLS Update information

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Обновление выпуска KB0840650

Информация об обновлении TLS в SAP Ariba

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Симптом

24 января 2025 г. произойдет изменение приложений SAP Ariba и поддерживаемых SAP Business Network соединений с набором шифров. Проверьте следующее, так как это изменение может повлиять на ваши соединения с нашими решениями.

ЧТО ПРОИЗОЙДЕТ

24 января 2025 года приложения SAP Ariba и SAP Business Network:

Активация поддержки соединений TLS 1.3.
Прекращение поддержки соединений TLS 1.2 со слабым шифрованием.
Продолжайте поддерживать соединения TLS 1.2 с надежным шифрованием для входящей и исходящей коммуникации.
Не принимает запросы на исправление ошибок или расширение, связанные со слабыми наборами шифров TLS 1.2.

Следующие слабые наборы шифров TLS 1.2 не будут поддерживаться после 24 января и приведут к сбоям соединения:

- Примеры наборов шифров на основе CBC:
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- Примеры наборов шифров на основе SHA1:
  - TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
  - TLS_ECDHE_RSA_AES128_SHA
- Примеры набора шифров на основе обмена ключами RSA:
  - TLS_RSA_WITH_AES_256_GCM_SHA384
  - TLS_RSA_WITH_AES_128_GCM_SHA256

Среда

SAP NetWeaver 7.5

Воспроизведение проблемы

ЧТО ТАКОЕ ВЛИЯНИЯ

Начиная с 24 января 2025 года, если TLS 1.3 не активирован, произойдет следующее.

Для систем, использующих только слабые наборы шифров TLS 1.2:
- Рукопожатия TLS не будут выполняться.
- Защищенные соединения не будут установлены.
- Доступ к приложениям и сети будет недоступен.
- Все функции, выпущенные ранее или в будущем, не будут работать или быть доступны.
Для систем, в которых активированы как слабые, так и надежные наборы шифров TLS 1.2:
- Рукопожатия TLS будут автоматически использовать соединения TLS 1.2 с надежным шифрованием.
- Рекомендуется перейти на надежное TLS 1.3 и немедленно удалить слабое TLS 1.2.

Причина

SAP Ariba и SAP Business Network стремятся защитить безопасность клиентов и их поставщиков. SAP Ariba и SAP Business Network будут внедрять некоторые обязательные изменения, чтобы обеспечить использование более надежных криптографических алгоритмов, расширенные механизмы безопасности и лучшую защиту от известных уязвимостей.

Разрешение

Если это еще не сделано, как можно скорее перейдите к надежным наборам шифров TLS 1.2 (перечисленным ниже) для повышения безопасности. Кроме того, настоятельно рекомендуется активировать TLS 1.3, который является текущим протоколом, обеспечивающим максимальную безопасность соединений. Чтобы обеспечить совместимость и поддержку, выполните следующие действия до 24 января 2025 года.

Активировать наборы шифров TLS 1.3
Чтобы максимально повысить безопасность приложений SAP Ariba и соединений SAP Business Network, настоятельно рекомендуется активировать TLS 1.3, который будет поддерживаться с 24 января. Поддержка TLS 1.3 не будет разрушительной или несовместимой с вашими приложениями SAP Ariba и SAP Business Network.
Рекомендуется использовать хотя бы один из следующих наборов шифров TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
  
  После активации наборов шифров TLS 1.3 рукопожатия TLS из существующего TLS 1.2 (с использованием слабых или надежных наборов шифров TLS 1.2) 24 января автоматически переключатся на TLS 1.3. Если доступны TLS 1.2 с надежным шифрованием и TLS 1.3, соединения по умолчанию будут использовать первый поддерживаемый активированный набор шифров.
Активировать надежные наборы шифров TLS 1.2
В дополнение к активации наборов шифров TLS 1.3 до 24 января настоятельно рекомендуется сейчас активировать надежные наборы шифров TLS 1.2 для более безопасного соединения.

Примеры надежных наборов шифров TLS 1.2:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Вопросы и ответы

В целом, если версия подключаемого программного обеспечения относительно актуальна, то, скорее всего, это не повлияет. Если ваше подключаемое программное обеспечение довольно старое, то вам нужно проверить, есть ли у вас интероперабельность на месте.

Если вы подключаетесь напрямую к NetWeaver ABAP или S/4HANA (промежуточное ПО не используется), нужно ли вносить изменения?
A: Убедитесь, что реализованы рекомендации по параметрам из раздела 7 SAP-ноты 510007 "Дополнительные рекомендации по настройке SSL на сервере приложений ABAP".
Чтобы ограничить до TLS1.2, см. SAP-ноту 2384290 "Обновление SapSSL для упрощения конфигураций только TLSv1.2, TLSext SNI для клиентов 721+722 -> "Значения параметров профиля для ограничения версий протокола строгими только TLSv1.2"
Мы используем SAP Process Integration (PI) или SAP Process Orchestration (PO) в качестве промежуточного ПО. Нужно ли предпринимать какие-либо действия в отношении этого изменения?
А: Да. Необходимо убедиться, что в вашей системе активирован один или все перечисленные выше надежные наборы шифров TLS 1.2.
1. Система должна иметь версию программного обеспечения или выше в соответствии с SAP-нотой 2284059 "Обновление библиотеки SSL на сервере NW Java (для шифров DHE)" или версии программного обеспечения или выше в соответствии с SAP-нотой 2708581 "Поддержка ECC для исходящих соединений в SAP NW AS Java (для шифров ECDHE)" И
2. Файл SSLContext.properties необходимо обновить вручную, чтобы обеспечить поддержку надежных шифров TLS 1.2, перечисленных выше.
Существуют версии программного обеспечения. Как обеспечить включение в NetWeaver одного или всех указанных выше надежных наборов шифров TLS 1.2?
1. Обновите файл SSLContext.properties в соответствии с профилем примера 3 из SAP-ноты 2708581 - это обеспечит активацию максимального уровня интероперабельности на стороне PI/PO NetWeaver.
2. Инструкции по ведению файла SSLContext.properties доступны в статье базы знаний 2569156 Как создать, изменить и проверить файл SSLContext.properties.
Можно ли активировать TLS 1.3 в SAP NetWeaver 7.50?
A: Для исходящих соединений (адаптер получателя заказа на поставку -> SAP Ariba) TLS 1.3 не поддерживается в NetWeaver 7.5 или ниже для исходящих соединений.
Для входящих соединений (SAP Ariba -> PO Sender Adapter) да TLS 1.3 поддерживается в NetWeaver 7.5 для входящих соединений с SAP-нотой 3318423 – Поддерживается ли TLS 1.3 ядром SAP для Netweaver AS ABAP (то же самое относится к AS Java).
Мы используем SAP Integration Suite или SAP Cloud Process Integration (CPI ) в качестве промежуточного ПО. Нужно ли предпринимать какие-либо действия в отношении этого изменения?
A: Нет. Эти возможности уже существуют в SAP Integration Suite, и никакие действия в них не требуются.
Необходимо ли обеспечить доступность всех шифров?
A: Нет, только 1 общий шифр с обеих сторон соединения необходим, чтобы соединение работало.

См. также

KBA 2708581 – Поддержка ECC для исходящих соединений в SAP NW AS Java

Применимо к

Procurement Application Services