禁用TLSv1.1协议和弱密码C4C的最低PI Netweaver版本

2020-08-15 09:46发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家们,

我们收到了SAP的以下来函

https://cxwiki.sap.com/display/c4crelease/Disabling+TLSv1.1+protocol+and+weak+Ciphers+for+Outbound+Communication+Scenarios

我们通过PI和Web Dispatcher将C4C与ECC集成在一起

我需要找出将继续支持TLSv1.2的PI的最低Netweaver版本,我们的ECC和PI版本分别为ECC6 EHP7和PI Netweaver 7.4 SP12,

我们已经与ECC 6 EHP 7和PI 7.4 SP12进行了C4C集成

根据上述通信方式,我们需要更改以下参数,以符合ECC和PI在C4C端禁用TLSv1.1的要求

CommonCryptoLib文件应大于或等于8.4.48,SAP系统(PI/ERP/BW)中的ssl/ciphersuites(服务器)值== 801:PFS:HIGH :: EC_P256:EC_HIGH (仅用于将协议版本限制为严格的 TLSv1.2,TLSv1.1 )或ssl/ciphersuites = 545:PFS:HIGH :: EC_P256:EC_HIGH 严格 TLSv1.2 (禁用SSLv3,TLSv1.0,TLSv1.1)

根据我们对ECC和PI版本(如上所述)的理解,这就足够了

我担心的是ECC和PI 7.4 SP12版本对TLSV1.2的支持吗?

请帮助!

此致

维吉什

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家们,

我们收到了SAP的以下来函

https://cxwiki.sap.com/display/c4crelease/Disabling+TLSv1.1+protocol+and+weak+Ciphers+for+Outbound+Communication+Scenarios

我们通过PI和Web Dispatcher将C4C与ECC集成在一起

我需要找出将继续支持TLSv1.2的PI的最低Netweaver版本,我们的ECC和PI版本分别为ECC6 EHP7和PI Netweaver 7.4 SP12,

我们已经与ECC 6 EHP 7和PI 7.4 SP12进行了C4C集成

根据上述通信方式,我们需要更改以下参数,以符合ECC和PI在C4C端禁用TLSv1.1的要求

CommonCryptoLib文件应大于或等于8.4.48,SAP系统(PI/ERP/BW)中的ssl/ciphersuites(服务器)值== 801:PFS:HIGH :: EC_P256:EC_HIGH (仅用于将协议版本限制为严格的 TLSv1.2,TLSv1.1 )或ssl/ciphersuites = 545:PFS:HIGH :: EC_P256:EC_HIGH 严格 TLSv1.2 (禁用SSLv3,TLSv1.0,TLSv1.1)

根据我们对ECC和PI版本(如上所述)的理解,这就足够了

我担心的是ECC和PI 7.4 SP12版本对TLSV1.2的支持吗?

请帮助!

此致

维吉什

付费偷看设置
发送
8条回答
灬番茄
1楼-- · 2020-08-15 10:29

您好,Vijish。

1。 TLS 1.2支持最新版本的SAP NW PI 7.4。

2。 您的PI当前是否已与SAP C4C&ECC集成? 如果是,则只需要启用TLS 1.2,而不必禁用TLS 1.1和1.0,因为它需要内部ERP系统通信。

3。 从SAP C4C开始,他们将禁用TLS 1.1,它将使用TLS 1.2从ERP到C4C进行通信。

致谢

SS

何必丶何苦呢
2楼-- · 2020-08-15 10:26
< p>您好Sriram,

感谢您的答复,是的,当前我们的PI用于ECC和SAP C4C之间的集成。 从您的答复中我了解到,ECC和PI的建议参数(默认配置文件)的设置必须足以符合SAP C4C对TLSv1.1的禁用以及更新CommonCryptoLib的要求。 对吧?

此致

维吉什

d56caomao
3楼-- · 2020-08-15 10:15

嗯,我不太了解整个图片。 下面是一些估算值:

  1. 您的方案是C4C-> WebDisp-> PI-> ECC(或其他一些接收方)
  2. 您没有方案ECC(或其他一些发送方)-> PI ->(代理)-> C4C

现在,在处理场景1时,涉及TLS的PI不在范围内。 这是您必须查看的Web Dispatcher。 ECC或任何接收器也不在范围之内,在那里什么都不会改变(如果在您自己的网络中进行通信时依靠TLS 1.1甚至1.0是一个好主意,则是另一回事。)

您需要 确保在Web Dispatcher上允许使用TLS 1.2和匹配的密码套件。 您可以通过之类的工具轻松检查WebDisp允许使用哪些TLS版本/密码套件(假定可以通过公共互联网访问)。 https://www.ssllabs.com/ssltest/index.html

干杯

詹斯

spaceman01
4楼-- · 2020-08-15 10:29

嗨,詹,

流动是双向的,即

SAP ECC-> PI-> C4C

C4C-> Web分派器-> PI-> SAP ECC(无端到端SSL)

道歉。 据我了解,PI将需要对内核/Commoncryptolib进行补丁以及参数更新。

感谢您的建议,不胜感激!

打一壶酱油
5楼-- · 2020-08-15 10:26

您好,Vijish。

1。 仅在PI上,您必须启用TLS 1.2并检查SAP Web分派器支持的TLS 1.2。

2。 在相同的PI上可能已经在主要ERP到Non SAP系统上使用过,因为您必须保留TLS 1.0和1.1

注意事项

SS

风早神人
6楼-- · 2020-08-15 10:08

感谢Sriram,所以行动点将是通过添加上述配置文件参数并更新Kernel/commoncryptolib

为TLS1.2启用PI

一周热门 更多>