这篇博文的目的是分享有关如何使用TLS V1.2、SSL终止和加密保护SAP Web Dispatcher的信息。它还包括可能对成功实现有用的故障排除提示。最后，它包括每个部分和参数的链接和SAP注释。

SAP Web Dispatcher可以通过升级现有Web Dispatcher或安装新的Web Dispatcher来保护，因为它需要最新的CommonCryptoLib 8.X.X.

我们遵循的方法是安装新的Web Dispatcher 7.53，保留现有的旧WD环境。这给了将现有ABAP系统从旧WD逐个迁移到新WD的灵活性，增加了更好的控制并减少了业务中断。

SAPCRYPTOLIB 5.5.5pl28+和CommonCryptoLib 8.4.10或更高版本中提供了所需的TLS V1.2密码套件。

此博客文章的典型读者将是basis管理员。我写这篇博文是为了帮助和分享我的经验，以确保WD的安全，并将所有的东西放在一个地方，而不是搜索论坛，这可能会帮助许多管理员并节省他们宝贵的时间。

要求：

1）SAP Web Dispatcher 7.53或更高版本

2）CommonCryptoLib（CCL）-8.4.48或更高版本或旧库-"SAPCRYPTOLIB 5.5.5 plXX"–5.5.5pl38或更高。根据SAP Note 510007

3）数字证书

规划：

1）在新硬件上构建新的Web Dispatcher 7.53

2）下载并安装最新的CommonCryptoLib

方法：

1）在新硬件上构建新的Web Dispatcher 7.53

2）在WD中启用TLS V1.2参数

3）导入数字证书

4）配置后端ABAP系统并导入新WD中的证书

5）在后端ABAP系统中配置TLS V1.2参数

步骤：

1）#安装WD并启用WD auto start脚本到服务器重启后

Autostart=1

SignalMask_00=default，9

logfile/rotate=true

2）#最大并发连接数配置

icm/max_conn=32000

3）#TLS V1.2参数–根据SAP注释510007

ssl/CipherSuite=547：PFS:eAES256：高（512+32+2+1）

ssl/客户端密码套件=563：PFS:eAES256：高（512+32+16+2+1）

4）#后端ABAP系统配置

wdisp/系统｜0=SID=XXX，MSHOST=xxxxxx ascs，MSPORT=81XX，SSL\u ENCRYPT=2，CONFIG\u PROTOCOL=https，SRCVHOST=XXXXXX.XXX.XXX:443

wdisp/system\u 1=SID=XXX，消防物联网，MSHOST=xxxxxx ascs，MSPORT=81XX，企业信息化管理软件，SSL\u ENCRYPT=2，CONFIG\u PROTOCOL=https，SRCVHOST=XXXXXX.XXX.XXX:443

…

…

…

wdisp/system\u x=SID=XXX，MSHOST=xxxxxx ascs，MSPORT=81XX，SSL\u ENCRYPT=2，CONFIG\u PROTOCOL=https，SRCVHOST公司=XXXXXX.XXX.XXX:443

5）#SAP Web Dispatcher Administration

icm/HTTP/adminŠ0=PREFIX=/SAP/wdisp/admin，DOCROOT=$（DIRŠDATA）$（DIRŠSEP）icmandir，AUTHFILE=$（icm/AUTHFILE），ALLOWPUB=FALSE，PORT=44300，HOST=localhost；PhysicalŠHOST，CLIENTHOST=*。XXXXX.XXX公司（域名）

6）#SSL配置参数和加密

icm/server_port_0=PROT=HTTPS，HOST=localhost，port=44300，TIMEOUT=90，PROCTIMEOUT=3600

icm/server_port_1=PROT=HTTPS，HOST=Physical_HOST，port=44300，大数据与人工智能，TIMEOUT=90，PROCTIMEOUT=3600

ssl/服务器\u pse=/usr/sap//W00/秒/SAPSSLS.pse公司

ssl/客户端\u pse=/usr/sap//W00/秒/SAPSSLC.pse公司

wdisp/ssl\u cred=/usr/sap//W00/秒/SAPSSLC.pse公司

wdisp/HTTPS/context_timeout=4000

wdisp/HTTPS/max_pooled_con=32000

wdisp/HTTPS/min_pooled_con=0

wdisp/HTTP/使用_pool_新建_conn=1

###加密

wdisp/ssl_encrypt=2

wdisp/ssl_auth=2

icm/HTTPS/verify_client=1

7）#日志（特定于系统）

icm/HTTP/Logging_0=PREFIX=/sap/admin/，云服务器哪家好，LOGFILE=$（DIR_INSTANCE）/log/httpaccess/dev_httpaccess.log.adm文件，LOGFORMAT=SAP，SWITCHTF=day

icm/HTTP/logging\u 1=PREFIX=/，LOGFILE=$（DIR\u INSTANCE）/log/httpaccess/dev_httpaccess.log文件.，LOGFORMAT=SAP，SWITCHTF=day，SYSTEM=

8）#SYSTEMŠconflictŠresolution–最佳匹配

wdisp/SYSTEMŠconflictŠresolution=2

is/HTTP/showŠdetailedŠerrors=FALSE

wdisp/permissionŠtable=$（DIRŠPROFILE）/$（SAPSYSTEMNAME）Š$（INSTANCEŠNAME）ŠpermissionŠ_名称.txt, DOCROOT=$（DIR\u INSTANCE）/数据/公共/文件_名称.txt

icm/HTTP/file\u access\u 1=前缀=/file_名称.ico，DOCROOT=$（目录\实例）/数据/公共/文件_名称.ico

9）#缓存（全局）

icm/HTTP/server_Cache_0/HTTP_Cache_control=true

icm/HTTP/server_Cache_0=PREFIX=/，CACHEDIR=$（DIR\u INSTANCE）/data/cache/0

icm/HTTP/server\u cache\u 0/expiration=86400

icm/trace\u secured\u data=1

rdisp/trace=1

10）#Permission\u table–示例\u W00\u Permission\u table

S/sap/bc/*

S/sap/saml2/*

S/sap/opu/*

S/sap/es/ina/*

S/sap/public/*

拒绝所有其他

D*

11）#后端ABAP系统–根据sap说明510007

–ssl/密码套件=547：PFS:eAES256：高（512+32+2+1）

–ssl/客户端密码套件=563：PFS:eAES256：HIGH（512+32+16+2+1）

–icm/HTTPS/verify_client=1

–导入ABAP系统的数字证书

12）#使用每个脚本SSL检查SSL状态-hellotest.pl公司SNOTE 211002

语法：perlssl协议-hellotest.pl公司应用程序主机端口号

结论：通过遵循上述建议和参数，我们可以保护Web Dispatcher，它将保护整个SAP环境免受许多复杂攻击，并保护整个SAP环境免受危害。

-安全Web Dispatcher，它只启用TLS V1.2和强密码

-禁用弱密码、SSL3.0、TLSV1.0和TLS V1.1协议

–启用SSL终止，这意味着在Web调度器级别更安全，并保护所有传入和传出流量。

故障排除提示：

1）新的WD URL–https://Physical\u主机：44300/sap/wdisp/admin/public/默认.html

2）使用下面的命令检查参数并修复。

sapwebdisp pf=\u W00\u Hostname\u Profile-checkconfig

3）导入ABAP后端WD中的系统证书–打开WD URL，单击后端系统的SID，1元云购，进入右侧面板=>主机名=>建立连接并导入证书。

4）使用icm/server\u port\u X=PROT=HTTPS，port=XXXX，TIMEOUT=600启用HTTPS端口，并使用T\u code SMICM交叉检查

5。使用T代码SMICM检查日志（增加跟踪级别）。您可以找到*.pse文件以查找丢失的证书。如果需要，请导入。

参考：

1）#安装WD并启用WD自动启动脚本到服务器重新启动后

–768727–sapstart中的进程自动重启功能

2）#最大并发连接数配置

–2007212–这不适用于7.53

3）#TLS V1.2参数

–510007忽略这些参数的警告

-https://blogs.sap.com/2016/04/06/how-to-setup-the-sap-web-dispatcher-with-ssl-termination/

– https://blogs.sap.com/2016/04/06/how-to-setup-the-sap-web-dispatcher-with-ssl-re-encryption/

–211002–在SAP WebDispatcher或SAP WebAS（如ABAP 6xx、7xx或更高版本）上启用TLS或禁用SSLv3协议版本AS Java>=710）

–查找丢失的证书–2394406–分析Web调度器上的SSL问题所需的信息

–2368112–传出HTTPS连接在AS ABAP中不起作用

–2376200–分析AS ABAP系统（ICM）上的SSL问题所需的信息