作为我们持续改进和遵循行业最佳实践承诺的一部分，我们计划将服务器配置为支持最新的协议版本，以确保我们只使用最强大的算法和密码，但同样重要的是禁用旧版本。继续支持旧版本的协议会使我们的系统容易受到降级攻击，黑客会强迫我们的服务器连接使用已知漏洞的旧版本的协议。这会使加密连接（无论是网站访问者和您的web服务器之间，还是机对机之间，云计算与大数据，等）对中间人和其他类型的攻击开放。

范围

禁用TLSv1.1协议用于从internet到SAP Business ByDesign系统的入站通信场景

为什么禁用TLSv1.1协议？

以下简要总结了取消使用TLS 1.0/1.1的原因。

整个市场的云提供商都不赞成使用TLS 1.0/1.1对提供TLS 1.0和1.1的加密库的支持正在终止PCI DSS要求TLS 1.1或更高自2018年6月30日起，建议TLS 1.2更长https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tlsSSL实验室测试在2020年1月将支持TLS 1.0或1.1的服务器的评级从A+降至B浏览器开始于2019/2020年第1季度，不推荐TLS 1.0和1.1，将仍然支持它们的服务器标记为不安全（例如Chrome：https://blog.chromium.org/2019/10/chrome-ui-for-deprecating-legacy-tls.html)

要检查的场景

常见问题

a）什么是TLS？传输层安全（TLS）是一种标准协议，物联网安全，云教云，用于在Internet或内部网上提供安全的web通信。它使客户端能够对服务器进行身份验证，或者服务器（可选）对客户端进行身份验证。它还通过加密通信提供安全通道。

b）比亚迪担任服务器角色时，目前支持哪些协议？TLSv1.1、TLSv1.2

c）禁用TLSv1.1后，比亚迪在服务器角色上支持哪些协议？TLSv1.2

d）比亚迪在服务器角色中将支持哪些密码套件？TLS\U ECDHE\U RSA\U带\U AES128\U GCM\U SHA256TLS\U ECDHE\U RSA\U带\U AES256\U GCM\U SHA384带AES128 CBC SHA的TLS\U ECDHE\U RSA\U带AES256 CBC SHA384的TLS\U ECDHE\U RSA\U带AES256 CBC SHA的TLS\U ECDHE\U RSA\U带AES128 GCM SHA256的TLS\U ECDHE\U ECDSA\U带AES256 GCM SHA384的TLS\U ECDHE\U ECDSA\U带AES128 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA384的TLS\U ECDHE\U ECDSA\U带AES256 CBC SHA的TLS\U ECDHE\U ECDSA\U带AES128的TLS\U RSA\U GCM\U SHA256带AES256的TLS\U RSA\U GCM\U SHA384带AES128的TLS\U RSA\U CBC\U SHATLS\U RSA\U WITH \U AES256\U CBC\U SHA

前后支持的密码将保持不变，不会更改

e）启用/检查与比亚迪租户通信的SAP系统中是否启用TLSv1.2的设置检查SAP系统中的参数ssl/client\u ciphersuites，查看为其定义的值是否支持这些协议之一TLSv1.2。如果是–则即使在比亚迪禁用TLSv1.0后，连接仍能正常工作。如果您的系统仅支持TLSv1.0和TLSv1.1，您需要按照SAP说明510007

f）启用TLSv1.2协议如何检查与比亚迪通信的SAP系统支持的协议和密码套件（在与比亚迪的入站方案中）？在sap web dispatcher或应用程序服务器中运行以下命令，无论哪个服务器正在与比亚迪系统通信，切换到SIDuser→sapgenpse tlsinfo-c中定义的参数值

g）如何检查非sap系统支持的协议和密码套件？如果您有任何比亚迪插件（例如：Outlook插件、Cloud Application studio）或在上运行的应用程序，您可以通过外部站点检查您的系统/URL支持哪些协议和密码套件。

h）。NET框架连接比亚迪URL请确保在windows计算机中启用了以下设置，以避免比亚迪应用程序加载项（例如：Outlook加载项、在.NET Framework上构建/运行的Cloud application Studio）与比亚迪应用程序之间的连接问题。•在Windows PC中•转到windows搜索并键入"Regedit"•单击"是"•打开注册表编辑器。•根据的版本打开下面的路径。NET Framework安装在您的计算机中，在本例中为4.0.30319：Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v 4.0.30319

如果找到定义为0而不是1的值，按照以下步骤将"数据"从0更改为1并进一步测试结果

键：Computer\HKEY\u LOCAL\u MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319值：SchUseStrongCrypto类型：REG\ U DWORD数据：1

键：计算机\HKEY\ U LOCAL\ U MACHINE\软件\WOW6432Node\Microsoft\.NETFramework\v4.0.30319值：SchUseStrongCrypto类型：REG\ U DWORD数据：1

注意-如果您仍然发现连接到比亚迪应用程序的比亚迪加载项/插件存在问题，淘客大联盟，请将.NET Framework重新安装到4.6.2或更高版本，并重新检查SAP KBA 2806482

i）TLSv1.2有问题的第三方组件示例

如果您的BigIP F5中发生SSL终止负载均衡器TLSv1.2中除了（sha1，RSA）之外的数字签名存在已知问题，云服务器是，可以使用修补程序修复除了（sha1，RSA）之外的数字签名和TLS客户端证书-https://api-u.f5.com/support/kb-articles/K76313281？pdf格式