2025 年 1 月 24 日，SAP Ariba 应用程序和 SAP Business Network 支持的密码套件连接将发生更改。请查看以下内容，因为此更改可能会影响您与我们解决方案的连接。

会发生什么

2025 年 1 月 24 日，SAP Ariba 应用程序和 SAP Business Network 将：

• 启用对 TLS 1.3 连接的支持。
• 结束对弱 TLS 1.2 连接的支持。
• 对于入站和出站通信，继续支持强 TLS 1.2 连接。
• 不接受与弱 TLS 1.2 密码套件相关联的错误修复或增强请求。

1 月 24 日后，将不支持以下弱 TLS 1.2 密码套件，并且将导致连接失败：

• • 基于 CBC 的密码套件示例：
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • 基于 SHA1 的密码套件示例：
    • TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
    • TLS_ECDHE_RSA_AES128_SHA
  • 基于 RSA 密钥交换的密码套件示例：
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_GCM_SHA256

SAP NetWeaver 7.5

影响

从 2025 年 1 月 24 日开始，如果未启用 TLS 1.3，将发生以下情况。

• 对于仅使用弱 TLS 1.2 密码套件的系统：
  • TLS 握手将失败。
  • 将不会建立安全连接。
  • 对应用程序和网络的所有访问都将不可用。
  • 先前或未来发布的所有功能都将无法运行或不可用。
• 对于同时启用弱和强 TLS 1.2 密码套件的系统：
  • TLS 握手将自动使用强 TLS 1.2 连接。
  • 我们建议您现在切换到强 TLS 1.3 并立即移除弱 TLS 1.2。

SAP Ariba 和 SAP Business Network 致力于保护客户及其供应商的安全。SAP Ariba 和 SAP Business Network 将实施一些强制性更改，以确保使用更强大的加密算法、增强的安全机制以及更好地防止已知漏洞。

如果尚未执行此操作，请尽快转到强 TLS 1.2 密码套件（下面列出）以提高安全性。此外，我们强烈建议启用 TLS 1.3，这是提供最大安全连接的当前协议。为确保兼容性和支持，请在 2025 年 1 月 24 日之前执行以下操作。

1. 启用 TLS 1.3 密码套件
   为了最大限度地提高 SAP Ariba 应用程序和 SAP Business Network 连接的安全性，我们强烈建议启用将于 1 月 24 日开始支持的 TLS 1.3。对 TLS 1.3 的支持不应中断或与 SAP Ariba 应用程序和 SAP Business Network 不兼容。
   我们建议至少使用以下 TLS 1.3 密码套件之一：
   • TLS_AES_256_GCM_SHA384
   • TLS_CHACHA20_POLY1305_SHA256
   • TLS_AES_128_GCM_SHA256
     
     启用 TLS 1.3 密码套件后，来自现有 TLS 1.2 的 TLS 握手（使用弱或强 TLS 1.2 密码套件）将在 1 月 24 日自动切换到 TLS 1.3。如果强 TLS 1.2 和 TLS 1.3 均可用，则连接将默认为启用的第一个支持的密码套件。
     
     
2. 启用强 TLS 1.2 密码套件
   除了在 1 月 24 日之前启用 TLS 1.3 密码套件外，我们强烈建议立即启用强 TLS 1.2 密码套件，以实现更安全的连接。
   
   强 TLS 1.2 密码套件的示例：
   • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
   • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

常见问题

通常，如果连接的软件版本相对最新，则很可能不会影响。如果您的连接软件相当陈旧，则需要验证您是否具备互操作性。

1. 如果要直接连接到 NetWeaver ABAP 或 S/4HANA（不涉及中间件），是否需要进行任何更改？
   A：确保 SAP Note 510007 第 7 节中有关在 Application Server ABAP 上设置 SSL 的附加注意事项已就绪。
   要限制为 TLS1.2，请参阅 SAP Note 2384290 SapSSL 更新以实现仅 TLSv1.2 配置，针对 721+722 客户端的 TLSext SNI ->“用于将协议版本限制为严格的 TLSv1.2 的参数文件参数值”
   
   
2. 我们正在使用 SAP Process Integration (PI) 或 SAP Process Orchestration (PO) 作为中间件，是否需要对此更改执行任何操作？
   答：是的。您需要确保在系统中启用一个或多个上述强 TLS 1.2 密码套件。
   1. 根据 SAP Note 2708581 SAP NW AS Java 中出站连接的 SAP Note 2284059 更新 NW Java 服务器内的 SSL 库（对于 DHE 密码）或软件版本或更高版本，系统必须具有软件版本或更高版本，并且
   2. 必须手动更新 SSLContext.properties 文件以启用对上面列出的强 TLS 1.2 密码的支持。
      
      
3. 软件版本已就绪，如何确保在 NetWeaver 中启用一个或多个上述强 TLS 1.2 密码套件？
   1. 根据 SAP Note 2708581 中的示例参数文件 3 更新 SSLContext.properties 文件 - 这将确保在 PI/PO NetWeaver 端启用最大程度的互操作性。
   2. 知识库文章 2569156 如何创建、修改和验证 SSLContext.properties 文件中提供了维护 SSLContext.properties 文件的说明。
      
      
4. 我们能否在 SAP NetWeaver 7.50 中启用 TLS 1.3？
   A：对于出站连接（PO 接收方适配器 -> SAP Ariba），对于 出站连接，在 NetWeaver 7.5 或更低版本中不支持 TLS 1.3。
   对于入站连接（SAP Ariba -> PO 发送方适配器），是，对于 SAP Note 3318423 是 SAP Kernel for Netweaver AS ABAP 支持的 TLS 1.3 的入站连接，NetWeaver 7.5 中支持 TLS 1.3（同样适用于 AS Java）。
   
   
5. 我们正在使用 SAP Integration Suite 或 SAP Cloud Process Integration (CPI) 作为中间件，是否需要对此更改执行任何操作？
   A：否。这些功能已存在于 SAP Integration Suite 中，无需任何操作。
   
   
6. 是否需要确保所有密码都可用？
   答：没有，连接两边只需要 1 个通用密码才能确保连接正常工作。

知识库文章 2708581 - SAP NW AS Java 中出站连接的 ECC 支持

采购应用程序服务