本博客旨在概述Ariba安全协议的升级和tls1.1/1.2的强制采用

本博客面向以下读者：

SAP Ariba的业务用户SAP PI顾问SAP Ariba咨询公司SAP BASIS Consultants

此博客概述了Ariba安全协议升级和TLS 1.1/1.2的强制采用。

此博客提供了限制TLS 1.1和TLS 1服务器中TLS协议版本的信息。

此博客不包含使用高级前门URL安排ITK作业以连接到P2P/SAP MM

此博客没有解释SAP Ariba在传统前门、高级前门和集成前门方面的情况，这是引入专用集成URL所必需的。

为了保持PCI[支付卡行业]合规性，并继续以最高的行业标准保护我们客户的信息，数据分析，SAP Ariba正在升级其安全协议和密码，并删除薄弱或不安全的协议。

要实施这种新的安全协议，我们需要将集成流量与浏览器流量分离。作为其中的一部分，我们将为集成流量提供专用通信通道，使SAP Ariba和客户能够将集成流量与浏览器流量分开。

一旦实现，我们可以在新的安全协议可用时实施，免费云服务器永久使用，帮助我们更有效地保护您的数据。新的仅集成URL符合TLS 1.1/1.2标准，目前可用。

注意：SAP Ariba鼓励所有按需客户升级到Java™ 8防止发现任何安全漏洞。

基于浏览器的流量（即使用UI的浏览器流量）和单点登录：如果使用兼容的浏览器，则无需采取任何措施。

入站和/或出站集成流量：如果不采取任何措施，如前所述，您可能无法再访问SAP Ariba应用程序或应用程序一旦TLS 1.1/1.2合规性得到实施，云计算大数据，Ariba网络将立即恢复。

如果您使用的是CI-1到CI-4版本，营销数据分析，则需要升级到CI 9 SP2，以保持对SAP Ariba应用程序和Ariba网络的访问。此升级应立即开始。如果您使用的是CI-5到CI-8，则必须实施最新的热修复程序才能符合要求。

如果两个操作都未采取，则一旦TLS 1.1/1.2符合要求，则您可能无法再访问SAP Ariba应用程序或Ariba网络。

打开ESR应用程序并按"组软件组件"排序/筛选，CI版本可以标识为"显示"在下面的参考图片中，

白名单用于使Ariba网络能够在每个URL的基础上使用TLS 1.1/TLS 1.2启动出站通信。

传输层安全（TLS）是一种协议，可确保通信应用程序及其Internet用户之间的隐私。当服务器和客户机通信时，TLS确保没有第三方可以窃听或篡改任何消息。TLS是安全套接字层（SSL）的继承者。

安全哈希算法2（SHA-2，也称为SHA-256）是用于确定数据完整性的加密哈希函数。

Diffie-Hellman密钥交换是一种安全交换加密密钥的方法，它不要求交换密钥的双方具有任何优先权相互了解共同建立一个共享密钥。此密钥可用于加密后续通信。

RC4是用于加密可变长度通信的流密码。由于最近发现了多个漏洞，这被认为是不安全的。

要完成此任务，PI和BASIS团队必须协同工作。

默认配置存储在iaik中_ssl.jar文件文件夹/usr/sap//J21/j2ee/cluster/bin/ext/mail activation.

iaik_ssl.jar文件包含SSLContext.properties属性在文件夹iaik\security\ssl中，列出默认配置参数

SSLContext.properties属性根据

购买购买的各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各支持

SSLContext属性

，因为ISASIL4.4

配置文件的位置是iaik/security/ssl/SSLContext.properties属性在类路径

#中，可以用系统属性重新定义iaik.security.ssl文件.configFile

#例如java-Diaik.security.ssl文件.configFile文件=文件：c：/java语言/SSLContext.properties属性

######

#allowLegacyRenegotiation设置为true，否则我们无法与未修补的对等方通信

allowLegacyRenegotiation=true

#SSL服务器禁用不安全的重新协商，但客户端仍然允许SSL

server.disableRenegotiation=真

#在ISASIK5.102之后停用以避免回归

chainVerifier.checkExtensions=假

#避免IIS服务器问题

扩展=签名Š算法

PI团队或BASIS团队只需添加自定义参数即可限制TLS协议版本，而不影响中的代码SSLContext.properties属性文件

添加参数后，文件必须以名称保存ssl.config文件.

建议：复制已知值SSLContext.properties属性为避免出现问题，

下面列出了重要的自定义参数：

要启用自定义配置，必须设置属性"iaik.security.ssl文件.configFile"。这可以使用ConfigTool.

设置属性"iaik.security.ssl文件.configFile"在SAP NWA中，按照以下步骤：

SAP NWA–>配置–>基础设施–>Java系统属性–>系统VM参数

添加以下属性：

一旦添加了属性，只有在重新启动BASIS团队将执行的实例后，更改才会被激活。

（对于Ariba网络接口）将被修改为新的集成URL，国内云服务器哪家好，使其符合TLS 1.1/1.2

对于传入的集成，客户需要将其-2 URL转换为划定的集成流量URL

对于基于浏览器的流量：

客户需要输入服务请求，将其领域转换回传统的前门（s1）。阿里巴网)对于SSO，客户需要在其端执行配置，以便

URL现在指向遗留URL（s1）。阿里巴网而不是s1-2。阿里巴网)

所有这些步骤应首先在测试环境中执行，准备好后，应在生产环境中完成相同的更改。

https://connect.ariba.com/https://help.sap.com/https://blogs.sap.com/2016/06/06/outbound-support-for-tls-1112/