作为我们持续改进和遵循行业最佳实践承诺的一部分，我们计划将服务器配置为支持最新的协议版本，以确保我们只使用最强大的算法和密码，大数据存储技术有哪些，但同样重要的是禁用旧版本。继续支持旧版本的协议会使我们的系统容易受到降级攻击，黑客会强迫我们的服务器连接使用已知漏洞的旧版本的协议。这会使加密连接（无论是网站访问者和您的web服务器之间，还是机对机之间，等）对中间人攻击和其他类型的攻击开放。

范围

从SAP Business ByDesign系统禁用TLSv1.1协议用于出站通信场景。

为什么要禁用TLSv1.1协议？

以下简要总结了取消使用TLS 1.0/1.1的原因。

整个市场的云提供商都不赞成使用TLS 1.0/1.1对提供TLS 1.0和1.1的加密库的支持正在终止PCI DSS要求TLS 1.1或更高自2018年6月30日起，建议TLS 1.2更长https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tlsSSL实验室测试在2020年1月将支持TLS 1.0或1.1的服务器的评级从A+降至B浏览器开始于2019/2020年第1季度，不推荐TLS 1.0和1.1，将仍然支持它们的服务器标记为不安全（例如Chrome：https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html)

要检查的场景

常见问题

1）什么是TLS？

传输层安全（TLS）是一种标准协议，用于在Internet或内部网上提供安全的web通信。它使客户端能够对服务器进行身份验证，或者服务器（可选）对客户端进行身份验证。它还通过加密通信提供安全通道。TLS是安全套接字层（SSL）协议的最新版本。

2）比亚迪作为客户端时，目前支持哪些协议？

TLSv1.1、TLSv1.2

3）禁用TLSv1.1后，比亚迪在客户端角色支持哪些协议？

TLSv1.2

4）本次活动后比亚迪将支持哪些密码套件？

前后支持的密码将保持不变，数据分析与大数据，不会更改

TLS\U ECDHE\U RSA\U WITH \U AES128\U GCM\U SHA256TLS\U ECDHE\U RSA\U带\U AES256\U GCM\U SHA384带AES128 CBC SHA的TLS\U ECDHE\U RSA\U带AES256 CBC SHA384的TLS\U ECDHE\U RSA\U带AES256 CBC SHA的TLS\U ECDHE\U RSA\U带AES128 GCM SHA256的TLS\U ECDHE\U ECDSA\U带AES256 GCM SHA384的TLS\U ECDHE\U ECDSA\U带AES128 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA384的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES128的TLS\U RSA\U GCM\U SHA256带AES256的TLS\U RSA\U GCM\U SHA384带AES128的TLS\U RSA\U CBC\U SHATLS\U RSA\U WITH \U AES256\U CBC\U SHA

5）设置启用/检查SAP系统中是否允许TLSv1.2协议

检查SAP系统（PI/BW/ERP）中的参数ssl/CipherSuite，查看为其定义的值是否支持TLSv1.2协议，如果是–则即使在比亚迪禁用TLSv1.1协议后，从SAP Business ByDesign到您的内部系统/应用程序的连接仍能正常工作，如果您的系统仅支持TLSv1.1，则需要按照SAP说明中提到的详细信息启用TLSv1.2协议：510007

对于SAP PO（独立Java），请参阅以下SAP说明：2284059、2540433、2569156，产业大数据，2708581

6）启用TLSv1.2协议的建议参数和库文件

CommonCryptoLib文件应大于或等于8.4.48，SAP系统中的ssl/CipherSuite（服务器）值（PI/ERP/BW）为=801：PFS：高：EC_P256:EC_HIGH用于将协议版本限制为严格的TLSv1.2，仅TLSv1.1或ssl/CipherSuite=545：PFS：高：EC_P256:EC_HIGH用于将协议版本限制为严格的TLSv1.2（禁用SSLv3、TLSv1.0、TLSv1.1）

7）如何检查SAP系统支持哪些协议和密码？

在您的sap web dispatcher或应用程序服务器中运行以下命令，无论哪个服务器正在与比亚迪通话→sapgenpse tlsinfo

8）如何检查非sap系统支持的协议和密码套件？

您可以在外部站点检查您的系统/URL支持哪些协议和密码套件

9）TLSv1.2有问题的第三方组件示例

如果您的BigIP F5负载平衡器中发生SSL终止，大数据可视化，则存在TLSv1.2中（sha1，RSA）以外的已知数字签名问题，淘客商城，有一个修补程序可用于修复除（sha1、RSA）以外的具有TLS客户端证书的数字签名-https://api-u.f5.com/support/kb-articles/K76313281？pdf格式