2025 年 1 月 24 日，SAP Ariba 应用程序和 SAP Business Network 支持的密码套件连接将发生更改。请查看以下内容，因为此更改可能会影响您与我们解决方案的连接。

将发生的情况

2025 年 1 月 24 日，SAP Ariba 应用程序和 SAP Business Network 将：

• 启用对 TLS 1.3 连接的支持。
• 结束对弱 TLS 1.2 连接的支持。
• 继续支持入站和出站通信的强 TLS 1.2 连接。
• 不接受与弱 TLS 1.2 密码套件相关的错误修复或增强请求。

1 月 24 日之后将不支持以下弱 TLS 1.2 密码套件，并且将导致连接失败：

• • 基于 CBC 的密码套件示例：
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • 基于 SHA1 的密码套件示例：
    • TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
    • TLS_ECDHE_RSA_AES128_SHA
  • 基于 RSA 密钥交换的密码套件示例：
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_GCM_SHA256

SAP NetWeaver 7.5

有哪些影响

自 2025 年 1 月 24 日起，如果未启用 TLS 1.3，将发生以下情况。

• 对于仅使用弱 TLS 1.2 密码套件的系统：
  • TLS 握手将失败。
  • 将不会建立安全连接。
  • 对应用程序和网络的所有访问都将不可用。
  • 之前或未来发布的所有功能都将无法运行或不可用。
• 对于同时启用弱 TLS 1.2 密码套件的系统：
  • TLS 握手将自动使用强 TLS 1.2 连接。
  • 我们建议您立即切换到强 TLS 1.3 并移除弱 TLS 1.2。

SAP Ariba 和 SAP Business Network 致力于保护客户及其供应商的安全。SAP Ariba 和 SAP Business Network 将实施一些强制性更改，以确保使用更强大的加密算法、增强的安全机制并更好地防止已知漏洞。

如果尚未执行此操作，请尽快移动到强 TLS 1.2 密码套件（下面列出），以提高安全性。此外，我们强烈建议启用 TLS 1.3，这是提供最大安全连接的当前协议。为确保兼容性和支持，请在 2025 年 1 月 24 日之前执行以下操作。

1. 启用 TLS 1.3 密码套件
   为了最大限度地提高 SAP Ariba 应用程序和 SAP Business Network 连接的安全性，我们强烈建议从 1 月 24 日开始支持启用 TLS 1.3。对 TLS 1.3 的支持不应中断或与您的 SAP Ariba 应用程序和 SAP Business Network 不兼容。
   我们建议至少使用以下 TLS 1.3 密码套件之一：
   • TLS_AES_256_GCM_SHA384
   • TLS_CHACHACHA20_POLY1305_SHA256
   • TLS_AES_128_GCM_SHA256
     
     启用 TLS 1.3 密码套件后，来自现有 TLS 1.2 的 TLS 握手（使用弱或强 TLS 1.2 密码套件）将在 1 月 24 日自动切换到 TLS 1.3。如果强 TLS 1.2 和 TLS 1.3 均可用，则连接将默认设置为启用的第一个支持的密码套件。
     
     
2. 启用强 TLS 1.2 密码套件
   除了在 1 月 24 日之前启用 TLS 1.3 密码套件外，我们强烈建议立即启用强 TLS 1.2 密码套件，以实现更安全的连接。
   
   强 TLS 1.2 密码套件的示例：
   • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

常见问题

通常，如果连接的软件版本是相对最新的，则可能不会影响。如果您的连接软件已经很旧，则需要验证是否有互操作性。

1. 如果直接连接到 NetWeaver ABAP 或 S/4HANA（不涉及中间件），是否需要进行任何更改？
   A：确保 SAP Note 510007 第 7 部分的参数建议在应用服务器 ABAP 上设置 SSL 的附加注意事项已准备就绪。
   要限制为 TLS1.2，请参阅 SAP Note 2384290 SapSSL 更新以促进 TLSv1.2 仅配置，针对 721+722 客户端的 TLSext SNI -> “将协议版本限制为严格 TLSv1.2-的参数文件参数值”
   
   
2. 我们正在使用 SAP Process Integration (PI) 或 SAP Process Orchestration (PO) 作为中间件，是否需要就此变更采取任何行动？
   答：是的。您需要确保已在系统中启用上述一项或全部强 TLS 1.2 密码套件。
   1. 根据 SAP Note 2284059 NW Java 服务器（针对 DHE 密码）或软件版本或更高版本的 SSL 库更新，系统必须具有软件版本或更高版本，具体取决于 SAP Note 2708581 SAP NW AS Java 中出站连接的 ECC 支持（针对 ECDHE 密码）以及
   2. 必须手动更新 SSLContext.properties 文件以启用对上述强 TLS 1.2 密码的支持。
      
      
3. 软件版本已准备就绪，如何确保在 NetWeaver 中启用上述一项或全部强 TLS 1.2 密码套件？
   1. 根据 SAP Note 2708581 中的示例参数文件 3 更新 SSLContext.properties 文件 - 这将确保 PI/PO NetWeaver 端启用了最大级别的互操作性。
   2. 有关维护 SSLContext.properties 文件的说明，请参阅知识库文章 2569156 如何创建、修改和验证 SSLContext.properties 文件。
      
      
4. 我们能否在 SAP NetWeaver 7.50 中启用 TLS 1.3？
   答：对于出站连接（PO 接收方适配器 -> SAP Ariba），对于 NetWeaver 7.5 或更低版本的出站连接，不支持 TLS 1.3。
   对于入站连接（SAP Ariba -> PO 发送方适配器），是，NetWeaver 7.5 中支持 TLS 1.3，用于 SAP Note 3318423 Is TLS 1.3 Is TLS 1.3 supported by SAP Kernel for Netweaver AS ABAP（同样适用于 AS Java）。
   
   
5. 我们正在使用 SAP Integration Suite 或 SAP Cloud Process Integration (CPI) 作为中间件，是否需要对此更改执行任何操作？
   A：否。这些功能已存在于 SAP Integration Suite 中，无需任何操作。
   
   
6. 是否需要确保所有密码均可用？
   答：否，连接两侧仅需要 1 个公用密码，以确保连接可以正常工作。

知识库文章 2708581 - SAP NW AS Java 中出站连接的 ECC 支持

采购应用程序服务