这篇博文的目的是分享有关如何使用TLS V1.2、SSL终止和加密保护SAP Web Dispatcher的信息。它还包括可能对成功实现有用的故障排除提示。最后,它包括每个部分和参数的链接和SAP注释。
SAP Web Dispatcher可以通过升级现有Web Dispatcher或安装新的Web Dispatcher来保护,因为它需要最新的CommonCryptoLib 8.X.X.
我们遵循的方法是安装新的Web Dispatcher 7.53,保留现有的旧WD环境。这给了将现有ABAP系统从旧WD逐个迁移到新WD的灵活性,增加了更好的控制并减少了业务中断。
SAPCRYPTOLIB 5.5.5pl28+和CommonCryptoLib 8.4.10或更高版本中提供了所需的TLS V1.2密码套件。
此博客文章的典型读者将是basis管理员。我写这篇博文是为了帮助和分享我的经验,以确保WD的安全,并将所有的东西放在一个地方,而不是搜索论坛,这可能会帮助许多管理员并节省他们宝贵的时间。
要求:
1)SAP Web Dispatcher 7.53或更高版本
2)CommonCryptoLib(CCL)-8.4.48或更高版本或旧库-"SAPCRYPTOLIB 5.5.5 plXX"–5.5.5pl38或更高。根据SAP Note 510007
3)数字证书
规划:
1)在新硬件上构建新的Web Dispatcher 7.53
2)下载并安装最新的CommonCryptoLib
方法:
1)在新硬件上构建新的Web Dispatcher 7.53
2)在WD中启用TLS V1.2参数
3)导入数字证书
4)配置后端ABAP系统并导入新WD中的证书
5)在后端ABAP系统中配置TLS V1.2参数
步骤:
1)#安装WD并启用WD auto start脚本到服务器重启后
Autostart=1
SignalMask_00=default,9
logfile/rotate=true
2)#最大并发连接数配置
icm/max_conn=32000
3)#TLS V1.2参数–根据SAP注释510007
ssl/CipherSuite=547:PFS:eAES256:高(512+32+2+1)
ssl/客户端密码套件=563:PFS:eAES256:高(512+32+16+2+1)
4)#后端ABAP系统配置
wdisp/系统|0=SID=XXX,MSHOST=xxxxxx ascs,MSPORT=81XX,SSL\u ENCRYPT=2,CONFIG\u PROTOCOL=https,SRCVHOST=XXXXXX.XXX.XXX:443
wdisp/system\u 1=SID=XXX,消防物联网,MSHOST=xxxxxx ascs,MSPORT=81XX,企业信息化管理软件,SSL\u ENCRYPT=2,CONFIG\u PROTOCOL=https,SRCVHOST=XXXXXX.XXX.XXX:443
…
…
…
wdisp/system\u x=SID=XXX,MSHOST=xxxxxx ascs,MSPORT=81XX,SSL\u ENCRYPT=2,CONFIG\u PROTOCOL=https,SRCVHOST公司=XXXXXX.XXX.XXX:443
5)#SAP Web Dispatcher Administration
icm/HTTP/adminŠ0=PREFIX=/SAP/wdisp/admin,DOCROOT=$(DIRŠDATA)$(DIRŠSEP)icmandir,AUTHFILE=$(icm/AUTHFILE),ALLOWPUB=FALSE,PORT=44300,HOST=localhost;PhysicalŠHOST,CLIENTHOST=*。XXXXX.XXX公司(域名)
6)#SSL配置参数和加密
icm/server_port_0=PROT=HTTPS,HOST=localhost,port=44300,TIMEOUT=90,PROCTIMEOUT=3600
icm/server_port_1=PROT=HTTPS,HOST=Physical_HOST,port=44300,大数据与人工智能,TIMEOUT=90,PROCTIMEOUT=3600
ssl/服务器\u pse=/usr/sap//W00/秒/SAPSSLS.pse公司
ssl/客户端\u pse=/usr/sap//W00/秒/SAPSSLC.pse公司
wdisp/ssl\u cred=/usr/sap//W00/秒/SAPSSLC.pse公司
wdisp/HTTPS/context_timeout=4000
wdisp/HTTPS/max_pooled_con=32000
wdisp/HTTPS/min_pooled_con=0
wdisp/HTTP/使用_pool_新建_conn=1
###加密
wdisp/ssl_encrypt=2
wdisp/ssl_auth=2
icm/HTTPS/verify_client=1
7)#日志(特定于系统)
icm/HTTP/Logging_0=PREFIX=/sap/admin/,云服务器哪家好,LOGFILE=$(DIR_INSTANCE)/log/httpaccess/dev_httpaccess.log.adm文件,LOGFORMAT=SAP,SWITCHTF=day
icm/HTTP/logging\u 1=PREFIX=/,LOGFILE=$(DIR\u INSTANCE)/log/httpaccess/dev_httpaccess.log文件.,LOGFORMAT=SAP,SWITCHTF=day,SYSTEM=
8)#SYSTEMŠconflictŠresolution–最佳匹配
wdisp/SYSTEMŠconflictŠresolution=2
is/HTTP/showŠdetailedŠerrors=FALSE
wdisp/permissionŠtable=$(DIRŠPROFILE)/$(SAPSYSTEMNAME)Š$(INSTANCEŠNAME)ŠpermissionŠ_名称.txt, DOCROOT=$(DIR\u INSTANCE)/数据/公共/文件_名称.txt
icm/HTTP/file\u access\u 1=前缀=/file_名称.ico,DOCROOT=$(目录\实例)/数据/公共/文件_名称.ico
9)#缓存(全局)
icm/HTTP/server_Cache_0/HTTP_Cache_control=true
icm/HTTP/server_Cache_0=PREFIX=/,CACHEDIR=$(DIR\u INSTANCE)/data/cache/0
icm/HTTP/server\u cache\u 0/expiration=86400
icm/trace\u secured\u data=1
rdisp/trace=1
10)#Permission\u table–示例\u W00\u Permission\u table
S/sap/bc/*
S/sap/saml2/*
S/sap/opu/*
S/sap/es/ina/*
S/sap/public/*
拒绝所有其他
D*
11)#后端ABAP系统–根据sap说明510007
–ssl/密码套件=547:PFS:eAES256:高(512+32+2+1)
–ssl/客户端密码套件=563:PFS:eAES256:HIGH(512+32+16+2+1)
–icm/HTTPS/verify_client=1
–导入ABAP系统的数字证书
12)#使用每个脚本SSL检查SSL状态-hellotest.pl公司SNOTE 211002
语法:perlssl协议-hellotest.pl公司应用程序主机端口号
结论:通过遵循上述建议和参数,我们可以保护Web Dispatcher,它将保护整个SAP环境免受许多复杂攻击,并保护整个SAP环境免受危害。
-安全Web Dispatcher,它只启用TLS V1.2和强密码
-禁用弱密码、SSL3.0、TLSV1.0和TLS V1.1协议
–启用SSL终止,这意味着在Web调度器级别更安全,并保护所有传入和传出流量。
故障排除提示:
1)新的WD URL–https://Physical\u主机:44300/sap/wdisp/admin/public/默认.html
2)使用下面的命令检查参数并修复。
sapwebdisp pf=\u W00\u Hostname\u Profile-checkconfig
3)导入ABAP后端WD中的系统证书–打开WD URL,单击后端系统的SID,1元云购,进入右侧面板=>主机名=>建立连接并导入证书。
4)使用icm/server\u port\u X=PROT=HTTPS,port=XXXX,TIMEOUT=600启用HTTPS端口,并使用T\u code SMICM交叉检查
5。使用T代码SMICM检查日志(增加跟踪级别)。您可以找到*.pse文件以查找丢失的证书。如果需要,请导入。
参考:
1)#安装WD并启用WD自动启动脚本到服务器重新启动后
–768727–sapstart中的进程自动重启功能
2)#最大并发连接数配置
–2007212–这不适用于7.53
3)#TLS V1.2参数
–510007忽略这些参数的警告
-https://blogs.sap.com/2016/04/06/how-to-setup-the-sap-web-dispatcher-with-ssl-termination/
– https://blogs.sap.com/2016/04/06/how-to-setup-the-sap-web-dispatcher-with-ssl-re-encryption/
–211002–在SAP WebDispatcher或SAP WebAS(如ABAP 6xx、7xx或更高版本)上启用TLS或禁用SSLv3协议版本AS Java>=710)
–查找丢失的证书–2394406–分析Web调度器上的SSL问题所需的信息
–2368112–传出HTTPS连接在AS ABAP中不起作用
–2376200–分析AS ABAP系统(ICM)上的SSL问题所需的信息