SAP Support Backbone 변경, Digitally Signed SAP Notes 설정 및 HTTP 연결 설정

감귤은탱귤·2024년 1월 5일

BC Digitally Signed Note Assistant SAP SAP Notes SNOTE TCI 가이드

BC TroubleShooting

목록 보기

1/16

SAP 에서 제공하는 Notes 에 대해 신뢰성과 보안성을 강화한 Digitally Signed SAP Notes(디지털 서명 SAP Notes) 를 제공한다.

SAP Notes 2576306 - Transport-Based Correction Instruction (TCI) for Download of Digitally Signed SAP Notes

SAP 에서 디지털 서명 프로세스를 도입하면서 2020년 1월 8일 전에 TCI(Transport-Based Correction Instruction, 전송기반 수정 지침) 에 대해 설정해야 한다.

또한, SAP 와의 연결에 대해서 기존 RFC 방식(SAPOSS, SNOTE 등) 이 HTTP(또는 HTTPS) 로 변경이 되면서
옛날 시스템을 운영한다면 여러가지로 준비를 해줘야 한다. (SAP Support Backbone Update)

준비를 위해 참고해야 하는 Notes 가 매우 많으며, 다음과 같이 크게 두가지로 정리를 한다.

TCI 및 Digitally Signed SAP Notes 설정
SAP HTTP(HTTPS) 연결 설정

각 설정에는 많은 과정이 있기에 모든 과정을 서술하지는 않으며, 각 단계별 참고 Notes 를 기록한다. (자기가 관리하는 시스템 버전에 따라 참조)

또한 SAP Notes 2836302 - Automated guided steps for enabling Note Assistant for TCI and Digitally Signed SAP Notes 내부 프로그램 RCWB_TCI_DIGITSIGN_AUTOMATION 를 통해 대부분의 과정이 자동 진행 된다.

참조 블로그
Enabling and Using SNOTE for Digitally Signed SAP Notes
https://blogs.sap.com/2020/07/24/enabling-and-using-snote-for-digitally-signed-sap-notes/

1. TCI 및 Digitally Signed SAP Notes 설정

Main Notes. 2836302 - Automated guided steps for enabling Note Assistant for TCI and Digitally Signed SAP Notes

TCI 및 디지털 서명된 SAP Notes 에 대해서 SNOTE 활성화에 도움을 주는 자동화 지침 레포트 제공
레포트 이름 : RCWB_TCI_DIGITSIGN_AUTOMATION

Ref Notes 1. 2187425 - Information about SAP Note Transport based Correction Instructions (TCI)

TCI 설정 전에 전제 조건,SAP NW 버전에 따른 Bootstrapping Notes 및 세부 내용 제공(Notes 내 참조파일 확인)
SPAM Version 70 이상 / Note Assistant Bootstrapping 노츠 제공

Ref Notes 1-1. 2444141 - TCI: Enabling SNOTE for Transport-Based Correction Instruction(SAP_BASIS 701 and 702)

Bootstrapping Notes 제공 (SAP_BASIS 701, 702 대상)

Ref Notes 1-1-2. 1532112 - Errors when activating enhancement spot (BAdI) and program

Ref Notes 1-1-3. 2344014 - SPAU Adjustment for R3TR CLAS deliveries - adjustment of obsolete SAP notes deletes classes

Ref Notes 1-1-4. 2134534 - SPAU: Modification logs for changes to public section by SAP Note

Ref Notes 1-1-5. 2536585 - Upgrade: Missing SAP Notes in SPDD and SPAU

Ref Notes 1-1-6. 2606986 - Upgrade: You cannot reset obsolete SAP Notes in transaction SPAU

Ref Notes 1-1-7. 2569813 - Error due to missing TADIR entries for TCI consolidation

Ref Notes 1-2. 1995550 - Enabling SNOTE for transport based correction instruction

Bootstrapping Notes 제공 (SAP_BASIS 731 대상)

Ref Notes 1-2-1. 2615270 - TCI is marked as deleted object

Ref Notes 1-2-2. 2345669 - Limitations/Known issues in TCI

Bootstrapping 관련 이슈

Ref Notes 1-2-3. 2411418 - Identifying TCI in old release where SAP Note 1995550 is not implemented

Notes 2836302 스탭 진행 중, 9번 스탭 SYNTAX ERROR 오류 해결

Ref Notes 2. 2408073 - Handling of Digitally Signed notes in SAP Note Assistant

Digitally Singed Notes 적용 시, 두가지 방식이 있다.
1. TCI 방식 구현
2. 매뉴얼(수동) 구현
여기서는 매뉴얼(수동)로 구현을 했으며, 관련된 참조 Notes

Ref Notes 2-1. 2546220 - [CVE-2017-16691] SNOTE: Digital signature verification along with note file extraction

Ref Notes 2-2. 2508268 - Download of Digitally Signed SAP Notes in SNOTE

Notes 다운로드 시, SAP 로그인 화면이 뜨는 현상에 대한 설명/ 해당 Notes 에서 TCI 구현 해결법(Notes 2836302) 제시

Ref Notes 4. Notes 2836302 구현 시, 스탭별 문제점에 대한 Notes

Ref Notes 4-1. 2860540 - Report RCWB_TCI_DIGITSIGN_AUTOMATION from SAP Note 2836302 stops at Step 8: Upload TCI Package for Digitally Signed Note Enablement

Ref Notes 4-2. 2871797 - Report RCWB_TCI_DIGITSIGN_AUTOMATION step 12 gives Error in SAP_BASIS 700, 701,702 and 731

Ref Notes 4-3. 2868519 - Dumps after transporting changes from report RCWB_TCI_DIGITSIGN_AUTOMATION and SAP Note 2836302

Ref Notes 4-4. 2857602 - Report RCWB_TCI_DIGITSIGN_AUTOMATION from SAP Note 2836302 is hanging in Step4

Ref Notes 5. 2853813 - Automated guided steps for enabling Note Assistant for TCI and Digitally Signed SAP Notes

2020.01 RFC 연결 종료 및 Digitally Signed SAP Notes 구현 필요 안내
Note Assistant, TCI 및 HTTP 연결에 대한 안내

Ref Notes 6. 2830574 - SYNTAX_ERROR in different transactions after implementing TCI NOTE 2576306

TCI 구현은 SNOTE 에서 불가능하며, Notes 2187428 을 참조하여 적용해야 함을 안내

Ref Notes 7. 2408383 - TCI - Enabling System for SAP Note Transport-Based Correction Instruction (TCI) Rollback

TCI 롤백을 위한 참조 Notes
SPAM 통해 적용하므로 기본적으로는 롤백 불가능

Ref Notes 8. 2537133 - FAQ - Digitally Signed SAP Notes

Ref Notes 9. 2712875 - Error: "The TCI queue must be finished with the Note Assistant" while confirming import queue in SPAM

TCI Bootstrapping 패키지를 SPAM 에서 임포트 후, 정상 처리 되었음에도 계속 SPAM 임포트 큐에 남아있는 현상에 대한 Notes

Ref Notes 9-1. 2850262 - "Confirm the queue in Note Assistant" during implementation of a TCI

Ref Notes 9-2. 2448562 - Support Package Manager does not allow to confirm a queue with Transport based Correction Instructions (TCI)

해당 Notes 의 OCS_API_CONFIRM_QUEUE 펑션모듈을 실행하여 해당 현상 해결

2. SAP HTTP(HTTPS) 연결 설정

Main Notes. 2928592 - Download digitally signed SAP Notes using HTTP procedure in SAP_BASIS 700 to 731

Sub Notes 1. 2608378 - SNOTE: Note Download fails when downloading a high number of Notes

Sub Notes 2. 2721941 - Download of digitally signed note - changes to configuration report and other minor changes

Sub Notes 3. 2722027 - Certain OSS RFC APIs calls replaced with corresponding web service calls

Sub Notes 4. 2857949 - Download of SAP Note without persisting it (for DBA Cockpit)

Sub Notes 5. 2881936 - Download of digitally signed SAP Notes - Improvement of error messages

Sub Notes 6. 2895954 - Utility code for dynamic calls in SNOTE

Ref Notes 1. 2805811 - How to enable client certificate authentication for technical communication users

RFC Destination(SM59) HTTPS 설정에서 SSL 인증을 위한 SSL 설정 가이드(PassPort)
Download the PSE via Launchpad application and import into STRUST(recommended) 사용

Ref Notes 1-1. 2554853 - SAP NetWeaver download service for SAP Notes

DigiCert Global Root 다운로드

Ref Notes 1-2. 2620478 - Download Service: Trust anchor certificates required for software & notes downloads

Ref Notes 2. 2359837 - Troubleshooting for "Support Hub Connectivity" in Solution Manager 7.2 up to SP04

SSL 설정 오류 시, 다양한 오류와 그에 대한 해결방법을 참조할 수 있는 노츠 (SOLMAN 버전 상이)

Ref Notes 3. 2827658 - Automated Configuration of new Support Backbone Communication - Update 02

SAp NetWeaver 7.4 이상 버전에서 RFC 목적지를 자동으로 생성해주는 Notes
Notes 내 첨부파일 Manual_Config_HttpsConnections_NEWOSS.docx 를 참조하여 RFC 목적지를 수동으로도 생성 가능하다.

Ref Notes 3-1. 510007 - Additional considerations for setting up SSL on Application Server ABAP

SAP CommonCryptoLib 버전 8.4.48 이상이 되어야 한다.

SAP Kernel 암호화 라이브러리는 SECUDE -> CommonCryptoLib -> SAPCRYPTOLIB 순으로 업그레이드 되었다. 따라서, 그 이하 버전이라면 암호화 라이브러리를 최신으로 패치해야한다.
CommonCryptoLib 를 사용한다면 Notes 내용에 따라 다음 파라미터를 DEFAULT 프로파일에 추가하여야 한다.

SETNEV_26 : SECUDIR=/usr/sap/<SID>/D<instance_number>/sec
SETENV_27 : SAPSSL_CLIENT_CIPHERSUITES=150:PFS:HIGH::EC_P256:EC_HIGH
SETENV28 : SAPSSL_CLIENT_SNI_ENABLED=TRUE
ssl/ciphersuites : 135:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_ciphersuites : 150:PFS:HIGH::EC_P256:EC_HIGH
ssl/client_sni_enabled : TRUE

Ref Notes 3-2. 2450794 - How to update CommonCryptoLib in a NetWeaver ABAP system

구 커널 암호화 라이브러리인 CommonCryptoLib 업데이트 내용
SAP Kernel 7.20 PL88 이상 필요

Ref Notes 3-3. 1848999 - Central Note for CommonCryptoLib 8 (SAPCRYPTOLIB)

프로파일 파라미터 ssl/client_ciphersuites 의 올바른 설정 (TLS v1.2 이상)

Ref Notes 3-4. 2124480 - ICM / Web Dispatcher: TLS Extension Server Name Indication (SNI) as client

커널 버전에 따른 ssl/client_sni_enabled 설정

Ref Notes 3-5. 2384290 - SapSSL update to facilitate TLSv1.2-only configurations, TLSext SNI for 721+722 clients

TLS v1.2 참조

Ref Notes 3-6. 2384243 - NetWeaver Application Server: How to configure strict TLS 1.2

STRUST => SSL Client SSL Client (Standard) 의 Certificates 설정 체크
STRUST 에 필요한 Cerification 은 총 4가지 이다.

VeriSign - https://www.websecurity.digicert.com/theme/roots

VeriSign Class 3 Public Primary Certification Authority - G5

DigiCert - https://www.digicert.com/kb/digicert-root-certificates.htm

DigiCert Global Root CA

DigiCert Global Root G2

DigiCert High Assurance EV Root CA

Ref Notes 4. SM59 에서 HTTP 목적지 생성 후, 커넥션 에러 참조

Ref Notes 4-1. 1888596 - HTTPIO_PLG_CANCELED error in RFC connection test

RFC Destination(SM59) HTTP 연결 목적지 생성 후, 커넥션 테스트에서 HTTPIO_PLG_CANCELED 오류 참조
SMICM=>HTTP 활성화 체크

Ref Notes 4-2. 2914072 - Connection test of SAP-SUPPORT_PORTAL or SAP-SUPPORT_NOTE_DOWNLOAD fail with error HTTPIO_PLG_CANCELED

Notes 2827658 를 참조하여 RFC 목적지 수동 생성 지시

Ref Notes 4-3. 2948909 - SM59 RFC Error "ICM_HTTP_CONNECTION_FAILED" "ICM_HTTP_SSL_ERROR" when implementing HTTP Protocol for SAP_BASIS 700 to 731 systems

SAP_BASIS 700~731에서 HTTPS 연결 목적지의 Target Host/ Proxy Host 설정 방법
Notes 2156862 Outgoing HTTP(S) connections via SAProuter fail with SSSLERR_SERVER_CERT_MISMATCH 도 참조

Ref Notes 4-4. 2461900 - SSSLERR_PEER_CERT_UNTRUSTED error in dev_icm trace

목적지 SAP-SUPPORT_NOTE_DOWNLOAD 오류 해결 내용 / RootCA 를 다시 받아 재등록

Ref Notes 5. 2781804 - Receiving the Error - E:SCWN:813 COMM_FAILURE during note download with HTTP Protocol in the digitally signed system

노츠 다운로드시 에러 발생 팝업에 대한 노츠

Ref Notes 6. HTTP(HTTPS) 연결 구현 후, 정상 연결 테스트

Ref Notes 6-1. 2836996 - How to test https connection for SAP Note download after the execution of task list SAP_BASIS_CONFIG_OSS_COMM configuration

SAP NetWeaver 7.4 SP08 이상 버전의 연결 테스트
그 이하 버전일 경우, 아래 Notes 를 직접 SNOTE 에서 다운로드하여 연결 테스트

Ref Notes 6-2. 2424539 - SAP Note Assistant: Test Note for Digital Signature Verification of SAP Note

SNOTES 에서 Notes 가 정상적으로 다운로드 되는지 확인하는데 사용되는 테스트 Notes
실제 안에 들어있는 내용은 없음.

감귤은탱귤

SAP BC (2019 ~ )

다음 포스트