SAP BACKBONE TROUBLESHOOTING

SAP Systeme werden hybrider und sind nicht mehr Systeme, die im Keller stehen. Die Verbindung zu SAP wird intensiver und wichtiger (Launchpad, Maintenanceplanner, …). Bei hybriden Szenarien muss über Sicherheit nachgedacht werden. Die Pflicht seit Januar 2020 ist die Einrichtung des Support-Backbone, was die Kommunikation und den Hinweisdownload verschlüsselt. Das betrifft insbesondere den Solution Manager, aber auch die Entwicklungssysteme, da hier Hinweisedownloads passieren.

Trotz der guten Doku möchte ich hier mögliche Stolperfallen zusammenfassen.

S-USER erstellen und richtig berechtigen

Der S-User muss vorab im SAP-Launchpad eingerichtet sein. Wenn die Verwaltung in der eigenen Abteilung liegt, kein Problem, einfach durchführen, ansonsten vorab daran denken, damit hier kein Fehler ensteht.

RCWB_SNOTE_DWNLD_PROC_CONFIG (REPORT)

Dieser Report ermöglicht es wieder über die alte Verbindung (RFC) Hinweise herunterzuladen. Man hat drei Möglichkeiten. Hinweise manuell hochladen, den alten RFC-Weg nochmals zu aktivieren oder die neuen RFC Verbindungen zu prüfen.
Die neuen RFC-Verbindungen lauten:

SAP-SUPPORT_PORTAL
SAP-SUPPORT_NOTE_DOWNLOAD

Wenn man sich nicht sicher ist, einfach auch den Verbindungstest durchführen.

Nutzen für: kurzfristigen Rückbau auf RFC, finale Umstellung auf die neuen RFC Veribndungen

SPAM UPDATE vs. TCI

Die Voraussetzungen, z.B. bei uns im Solution Manager, waren nicht gegeben. Besser ist es immer, wenn eine Downtime möglich ist, die Pakete zu patchen. Das erspart viele Hinweise zusammenzusuchen und kombiniert viele Einzelhinweise.
Wenn Downtime möglich, patchen!

Es ist nicht nur ein reines SAP_BASIS Update. SAP erkennt die Abhängigkeiten. Konkret fehlte hier zusätzlich ein Update der Komponente SAP_GWFND

STC01 zur EINRICHTUNG und CHECK SAP_BASIS_CONFIG_OSS_COMM

Die Aufgabenliste fasst die Aktivitäten zusammen. Selbst wenn man über einen Patch die Konfiguration erstellt hat, kann man auch Teile der Liste nutzen, um die Konfiguration nochmals zu prüfen. Hier einfach die Teilaufgaben wählen, statt einer Neueinrichtung, was vielleicht funktionierende Einrichtungen überschreiben könne

SAP-SUPPORT_NOTE_DOWNLOAD 404 – ist ok

Nicht verwirren lassen. Das ist beim Test der Verbindung ok. Die RFC-Verbindung ist und eine 404 passt. Beim konkreten Download der Hinweise wird die Domain dynamisch mit der Hinweisnummer ergänzt und die Domain vervollständigt.

RFC Verbindung funktioniert nicht SSL Handshake failed / PARAMETER FEHLEN

Auch wenn die RFC-Verbindung eingerichtet ist, kann, wenn die falsche SAPCRYPTOLIB und SLL-Verschlüsselung falsch definiert ist, nicht funktionieren. Es muss die richtige/aktuelle Cryptolib eingerichtet sein und die folgenden Parameter festgelegt werden.

Ein Neustart des Systems und des ICM bei dynamischen Parametern ist notwendig.

ssl/ciphersuites  =  135:PFS:HIGH::EC_P256:EC_HIGH    
ssl/client_ciphersuites  =  150:PFS:HIGH::EC_P256:EC_HIGH
icm/HTTPS/client_sni_enabled = TRUE
ssl/client_sni_enabled = TRUE
SETENV_26 = SECUDIR=$(DIR_INSTANCE)$(DIR_SEP)sec
SETENV_27 = SAPSSL_CLIENT_CIPHERSUITES=150:PFS:HIGH::EC_P256:EC_HIGH
SETENV_28 = SAPSSL_CLIENT_SNI_ENABLED=TRUE 

Im SolMan
ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH

Hinweis SSL 510007 https://launchpad.support.sap.com/#/notes/510007

ICM_HTTP_SSL_PEER_CERT_UNTRUSTED (ZERTIFIKATE)

Das kann das Ergebnis sein, wenn die Zertifikate nicht angelegt oder an der richtigen Stelle hinterlegt sind.

Für das Supportbackbone braucht es in Summe vier neue Zertifikate. Man muss diese auch in der STRUST an der richtigen Stelle hinterlegen, in dem Verbindungstyp der beim Aufruf verwendet wird. Hier: DEFAULT SSL-Client (Standard). Das muss 1:1 passen. Wenn die DEFAULT SSL-Clinet (Anonym) verwendet wird, muss auch hier das Zertifikat zugeordnet werden. Die neuen Zertifikate sind:

  • VeriSign Class 3 Public Primary Certification Authority – G5
  • DigiCert Global Root CA 
  • DigiCert Global Root G2
  • DigiCert High Assurance EV Root CA

Alle Zertifikate, auch mehr, sind hier zu finden und zum Downloadbereich:

https://www.digicert.com/digicert-root-certificates.htm
https://www.websecurity.symantec.com/content/dam/websitesecurity/support/ica/retail-ssl/02_SHA2SHA1-SSWPro-Root.cer

Der SAP-Hinweis ist https://launchpad.support.sap.com/#/notes/2631190

Dokumente

Digital-SignatureHerunterladen

Hinweise: