作为我们持续改进和遵循行业最佳实践的承诺的一部分,物联网企业,我们计划将服务器配置为支持最新的协议版本,以确保我们只使用最强大的算法和密码。禁用旧版本同样重要,免费大数据,因为继续支持旧版本的协议可能会使我们的系统容易受到降级攻击,黑客会强制连接到我们的服务器以使用已知漏洞的旧版本协议。这会使加密连接(无论是站点访问者与您的web服务器之间的连接,还是机器与机器之间的连接等)对中间人攻击和其他类型的攻击开放。
范围
通过设计系统禁用TLSv1.1协议用于您的业务的出站通信场景。
如您所知,我们已计划禁用TLSv1.1协议和弱密码,用于SAP Business By Design实例的出站通信方案。但是,我们收到几个客户请求不要禁用RSA密码,因为他们的一些系统还不支持ECDHE/ECDSA密码。我们SAP坚信客户至上。因此,我们决定推迟在出站通信场景中禁用RSA密码。此活动将仅禁用出站通信场景的TLSv1.1协议。
为什么要禁用TLSv1.0?
以下简要总结了取消使用TLS 1.0/1.1的原因。
整个市场的云提供商都不赞成使用TLS 1.0/1.1对提供TLS 1.0和1.1的加密库的支持正在终止PCI DSS要求TLS 1.1或更高自2018年6月30日起,建议TLS 1.2更长https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tlsSSL实验室测试在2020年1月将支持TLS 1.0或1.1的服务器的评级从A+降至B浏览器开始于2019/2020年第1季度,不推荐TLS 1.0和1.1,将仍然支持它们的服务器标记为不安全(例如Chrome:https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html)
要检查的场景1浏览器设置–检查TLSv1.1和TLSv1.2是否启用。
2。SAP CPI与Business ByDesign之间的连接—无需采取任何操作,因为SAP CPI已支持TLSv1.1和TLSv1.2。三。SAP PI/ERP与Business ByDesign之间的连接–请遵循下面常见问题部分中提到的详细信息,了解如何在系统中启用TLSv1.1和TLSv1.2,以防尚未启用。
常见问题?
a)什么是TLSv1.0?传输层安全(TLS)是一种标准协议,用于在Internet或内部网上提供安全的web通信。它使客户端能够对服务器进行身份验证,云服务器如何,云信息,或者服务器(可选)对客户端进行身份验证。它还通过加密通信提供安全通道。
b)比亚迪担任服务器角色时,目前支持哪些协议?TLSv1.0、TLSv1.1、TLSv1.2
c)禁用TLSv1.0后,人工智能可以做什么,比亚迪在服务器角色上支持哪些协议?TLSv1.1和TLSv1.2
d)比亚迪在服务器角色中将支持哪些密码套件?TLS\U ECDHE\U RSA\U带\U AES128\U GCM\U SHA256TLS\U ECDHE\U RSA\U带\U AES256\U GCM\U SHA384带AES128 CBC SHA的TLS\U ECDHE\U RSA\U带AES256 CBC SHA384的TLS\U ECDHE\U RSA\U带AES256 CBC SHA的TLS\U ECDHE\U RSA\U带AES128 GCM SHA256的TLS\U ECDHE\U ECDSA\U带AES256 GCM SHA384的TLS\U ECDHE\U ECDSA\U带AES128 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA384的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES128的TLS\U RSA\U GCM\U SHA256带AES256的TLS\U RSA\U GCM\U SHA384带AES128的TLS\U RSA\U CBC\U SHATLSĀu RSAĀu AES256Āu CBCĀu SHA
e)设置,用于启用/检查与比亚迪租户通信的SAP系统中是否启用了TLSv1.1和TLSv1.2检查SAP系统中的参数ssl/client\u ciphersuites,查看为其定义的值是否支持这些协议之一TLSv1.1或TLSv1.2。如果是–则即使在比亚迪禁用TLSv1.0后,连接仍能正常工作。如果您的系统仅支持TLSv1.0,您需要按照SAP说明510007
f)启用TLSv1.1和TLSv1.2协议如何检查与比亚迪通信的SAP系统支持的协议和密码套件(在与比亚迪的入站方案中)?在sap web dispatcher或应用程序服务器(与比亚迪对话的服务器)中运行以下命令→sapgenpse tlsinfo-c
g)如何检查非sap系统支持的协议和密码套件?如果您有任何比亚迪插件(例如:Outlook插件、Cloud Application studio)或在上运行的应用程序,您可以通过外部站点检查您的系统/URL支持哪些协议和密码套件。
h)。NET框架连接比亚迪URL请确保在windows计算机中启用了以下设置,以避免比亚迪应用程序加载项(例如:Outlook加载项、在.NET Framework上构建/运行的Cloud application Studio)与比亚迪应用程序之间的连接问题。•在Windows PC中•转到windows搜索并键入"Regedit"•单击"是"•打开注册表编辑器。•根据的版本打开下面的路径。NET Framework安装在您的计算机中,在本例中为4.0.30319:Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v 4.0.30319
如果找到定义为0而不是1的值,按照以下步骤将"数据"从0更改为1并进一步测试结果
键:Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319值:SchUseStrongCrypto类型:REG\ U DWORD数据:1
键:计算机\HKEY\ U LOCAL\ U MACHINE\软件\WOW6432Node\Microsoft\.NETFramework\v4.0.30319值:SchUseStrongCrypto类型:REG\ U DWORD数据:1
