In SAP wird nicht nur mit Hilfe von Zertifikaten kommuniziert, sondern zwischen Systemen direkt. Z.B. in der Kommunikation mit Webshops oder Zahlungsanbietern.
SAP hat für die Verschlüsselung die SAPCRYPTOLIB und verwaltet Zertifikate in der STRUST.
grob und kurz Welche Sicherheitsstandards SAP kann hängt vom Release des Kernels ab und von dem Stand der SAP-Cryptolib.
Die Versionen kann man schnell feststellen.
In der STRUST (hier werden die Zertifkate gesichert)
Umfeld –> SSF Version anzeigen.
Zur Einordnung. Die SAPCRYPTOLIB ist schon aktiviert, die grundsätzlichen Parameter im System, aber noch nicht die für neuere Standards.
Jetzt ist zu prüfen, wie z.B. für TLS 1.1, ob die technischen Voraussetzungen gegeben sind.
Hier sind wir mit Verison 8.5xx bestens aufgestellt.
Also kein Kernelpatch oder Update der SAPCRYPTOLIB
Um TLS 1.1 zu aktivieren müssen in der RZ10 folgende Systemparameter gesetzt werden:
Parametername Parameterwert
Parameter: ssl/client_ciphersuites
Wert: 150:PFS:HIGH::EC_P256:EC_HIGH
Parameter: ssl/ciphersuites
Wert:135:PFS:HIGH::EC_P256:EC_HIGH
Parameter pflegen, Profil aktivieren, neu starten und danach kann unser System die Verschlüsselungen sprechen.
Beste Grüße,
Mario
Die wichtigen Hinweise dazu sind:
510007 – Setting up SSL on Application Server ABAP
2384243 – NetWeaver Application Server: How to configure strict TLS 1.2