In SAP wird nicht nur mit Hilfe von Zertifikaten kommuniziert, sondern zwischen Systemen direkt. Z.B. in der Kommunikation mit Webshops oder Zahlungsanbietern.

SAP hat für die Verschlüsselung die SAPCRYPTOLIB und verwaltet Zertifikate in der STRUST.

grob und kurz Welche Sicherheitsstandards SAP kann hängt vom Release des Kernels ab und von dem Stand der SAP-Cryptolib.

Die Versionen kann man schnell feststellen.

In der STRUST (hier werden die Zertifkate gesichert)

Umfeld –> SSF Version anzeigen.

Zur Einordnung. Die SAPCRYPTOLIB ist schon aktiviert, die grundsätzlichen Parameter im System, aber noch nicht die für neuere Standards.

Jetzt ist zu prüfen, wie z.B. für TLS 1.1, ob die technischen Voraussetzungen gegeben sind.

Hier sind wir mit Verison 8.5xx bestens aufgestellt.
Also kein Kernelpatch oder Update der SAPCRYPTOLIB

Um TLS 1.1 zu aktivieren müssen in der RZ10 folgende Systemparameter gesetzt werden:

Parametername Parameterwert

Parameter: ssl/client_ciphersuites

Wert: 150:PFS:HIGH::EC_P256:EC_HIGH

Parameter: ssl/ciphersuites

Wert:135:PFS:HIGH::EC_P256:EC_HIGH

Parameter pflegen, Profil aktivieren, neu starten und danach kann unser System die Verschlüsselungen sprechen.

Beste Grüße,
Mario

Die wichtigen Hinweise dazu sind:
510007 – Setting up SSL on Application Server ABAP
2384243 – NetWeaver Application Server: How to configure strict TLS 1.2