- SAP Notes 3566727 - Root Certificate Replacement in the SAP BTP, Cloud Foundry Environment
SAP 에서는 인증서 키 길이에 따른 최신 보안 권장 사항을 준수하고 강화하기 위해서, 더 높은 보안 레벨로의 공개 키 인프라(PKI) 전환을 2026년 1분기에 진행했다.
Root 인증서 키를 기존 DigiCert Global Root G2 에서 DigiCert TLS RSA4096 Root G5 또는 DigiCert Global Root G3 로 전환하고 있으며, 이에 따라 SAP BTP, Cloud Foundry 솔루션에 대해서 신규 인증서를 추가해야 한다.
1. 개요
SAP BTP, Cloud Foundry 솔루션 Root 인증서 전환에 맞춰, 클라이언트 측 시스템의 Trust Stores(신뢰 저장소) 에도 새로운 Root 인증서(G5, G3) 가 추가되어야 한다.
클라이언트 측 시스템은 SAP BTP, SAP Cloud 솔루션 제품과 연결된 As ABAP 시스템이거나, On-Promise 시스템과의 보안 터널링 역할을 하는 SCC 시스템이 있다.
Sap Cloud Connector(SCC) 의 경우, SAPJVM 버전이 낮다면, 최신 Root 인증서(G5, G3) 가 Keystore 에 없기 때문에 인증서를 인식하지 못하며, SSL 연결에 실패하게 된다.
SSL 연결 실패 시, SCC ljs_trace 로그를 확인해보면 아래와 같은 오류 메세지를 확인할 수 있다.
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.따라서, 최소한 SAP JVM 8.1.097 이상의 버전으로 업그레이드가 필요하다.
2. SAP JVM 업그레이드
2-1. 최신 SAP JVM 다운로드
최신버전의 SAP JVM 은 아래 링크에서 다운로드 받을 수 있다.
해당 링크 페이지의 스크롤 중간 아래 부분쪽에 SAP JVM 항목에서 다운로드 가능하다.
글을 작성하는 현재 가장 최신버전은 8.1.109 이다.
2-2. SAP JVM 업그레이드
해당 SAP Help Portal 문서에 SAP JVM 을 업그레이드 하는 방법에 대해서 적혀있다.
여기에서는 해당 방법 대신에, rpm 명령어를 이용한 수동 업그레이드 방법에 대해서 기록한다. (리눅스 기준)
2-2-0. SCC 의 SAPJVM 버전 확인
- SAP Notes 3705776 - How to check JVM version running with SAP Cloud Connector
해당 Notes 에 따라, SCC Web UI 에서 확인 가능하다.
2-2-1. SCC 서비스 중지
System V Init : service scc_daemon stop
systemd : systemctl stop
2-2-2. sapjvm.rpm 파일 이동
SCC JAVA 디렉토리로 sapjvm.rpm 파일 이동
- JAVA 디렉토리 경로 :
/usr/java
SCC JAVA 디렉토리는 버전에 따라서 경로의 차이가 있을수 있다.
2-2-3. rpm 으로 sapjvm 업그레이드
다음 명령어로 sapjvm 업그레이드
rpm -U sapjvm-8.1.109.rpm
업그레이드는 수초 내에 완료되며, 완료시 자동으로 sapjvm_8_latest 링크가 최신 버전으로 포인팅된다.
2-2-4. SCC 서비스 시작 및 SAPJVM 버전 확인
System V Init : service scc_daemon start
systemd : systemctl start
2-2-5. SCC JVM Keystore 확인
$JAVA_HOME/bin/keytool -list -v -keystore $JAVA_HOME/lib/security/cacerts
